Get-EXOMailboxPermission
此 cmdlet 仅在 Exchange Online PowerShell 模块中可用。 有关详细信息,请参阅关于 Exchange Online PowerShell 模块。
使用 Get-EXOMailboxPermission cmdlet 检索对邮箱的权限。
有关以下语法部分的参数设置的详细信息,请参阅 Exchange cmdlet 语法。
语法
Get-EXOMailboxPermission
[-ResultSize <Unlimited>]
[<CommonParameters>] Get-EXOMailboxPermission
[-ExternalDirectoryObjectId <Guid>]
[-Identity <String>]
[-Owner]
[-PrimarySmtpAddress <String>]
[-ResultSize <Unlimited>]
[-SoftDeletedMailbox]
[-User <String>]
[-UserPrincipalName <String>]
[<CommonParameters>] 说明
此 cmdlet 的输出显示以下信息:
- 标识:有问题的邮箱。
- 用户:安全主体 (对邮箱具有权限的用户、安全组、Exchange 管理角色组等 ) 。
- AccessRights:安全主体对邮箱拥有的权限。 可用值为 ChangeOwner (更改邮箱) 的所有者, ChangePermission (更改邮箱) 的权限,DeleteItem (删除邮箱) ,ExternalAccount (指示帐户不在同一域中) ,FullAccess (打开邮箱,访问其内容,但无法) 发送邮件,ReadPermission (读取邮箱) 的权限。 “拒绝”列中指示权限是允许还是拒绝。
- IsInherited:权限是继承 (True) 还是直接分配给邮箱 (False) 。 权限继承自邮箱数据库和/或 Active Directory。 通常,直接分配的权限会覆盖继承的权限。
- 拒绝:权限是允许 (False) 还是拒绝 (True) 。 通常,拒绝权限会覆盖允许权限。
默认情况下,以下权限分配给用户邮箱:
- FullAccess 和 ReadPermission 直接分配给 NT AUTHORITY\SELF。 此条目向用户授予对其自己的邮箱的权限。
- FullAccess 拒绝给管理员、域管理员、企业管理员和组织管理。 这些继承的权限会阻止这些用户和组成员打开其他用户的邮箱。
- 允许管理员、域管理员、企业管理员和组织管理使用 ChangeOwner、ChangePermission、DeleteItem 和 ReadPermission。 请注意,这些继承的权限条目也显示为允许 FullAccess。 但是,这些用户和组没有对邮箱的 FullAccess,因为继承的 Deny 权限条目将替代继承的 Allow 权限条目。
- FullAccess 由 NT AUTHORITY\SYSTEM 继承,ReadPermission 由 NT AUTHORITY\NETWORK 继承。
- FullAccess 和 ReadPermission 由 Exchange Server 继承,ChangeOwner、ChangePermission、DeleteItem 和 ReadPermission 由 Exchange 受信任子系统继承,ReadPermission 由托管可用性服务器继承。
默认情况下,其他安全组和角色组根据其位置 (本地 Exchange 或 Microsoft 365) 继承对邮箱的权限。
示例
示例 1
Get-EXOMailboxPermission -Identity john@contoso.com此示例返回用户对邮箱拥有的权限
参数
-ExternalDirectoryObjectId
适用:Exchange Online
ExternalDirectoryObjectId 参数标识要通过 Microsoft Entra ID 中的 ObjectId 查看的邮箱。
不能将此参数与 Identity、PrimarySmtpAddress 或 UserPrincipalName 参数一起使用。
| 类型: | Guid |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | True |
| 接受通配符: | False |
-Identity
适用:Exchange Online
Identity 参数指定要查看的邮箱。 为了获得最佳性能,我们建议使用用户 ID 或用户主体名称 (UPN) 来标识邮箱。
否则,可以使用唯一标识邮箱的任何值。 例如:
- 名称
- 别名
- 可分辨名称 (DN)
- LegacyExchangeDN
- SamAccountName
不能将此参数与 ExternalDirectoryObjectId、PrimarySmtpAddress 或 UserPrincipalName 参数一起使用。
| 类型: | String |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | True |
| 接受通配符: | False |
-Owner
适用:Exchange Online
所有者开关返回由 Identity 参数指定的邮箱的所有者信息。 不必为此开关指定值。
| 类型: | SwitchParameter |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-PrimarySmtpAddress
适用:Exchange Online
PrimarySmtpAddress 按主 SMTP 电子邮件地址 (标识要查看的邮箱, navin@contoso.com 例如,) 。
不能将此参数与 ExternalDirectoryObjectId、Identity 或 UserPrincipalName 参数一起使用。
| 类型: | String |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | True |
| 接受通配符: | False |
-ResultSize
适用:Exchange Online
ResultSize 参数指定了要返回的结果的最大数量。 若要返回所有与查询相匹配的请求,则请将此参数的值设为无限制。 默认值为 1000。
| 类型: | Unlimited |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-SoftDeletedMailbox
适用:Exchange Online
需要 SoftDeletedMailbox 开关才能返回结果中的软删除邮箱。 不必为此开关指定值。
软删除的邮箱是仍然可以恢复的已删除邮箱。
| 类型: | SwitchParameter |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-User
适用:Exchange Online
User 参数返回有关对 Identity 参数指定的邮箱具有权限的用户的信息。
为此参数指定的用户必须是用户或安全组, (可以分配) 权限的安全主体。 可以使用任何能够唯一标识该用户的值。 例如:
- 名称
- 可分辨名称 (DN)
- 可分辨名称 (DN)
- GUID
注意:目前,为此参数提供的值区分大小写。
| 类型: | String |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-UserPrincipalName
适用:Exchange Online
UserPrincipalName 参数标识要由 UPN (查看的邮箱, navin@contoso.onmicrosoft.com 例如,) 。
不能将此参数与 ExternalDirectoryObjectId、Identity 或 PrimarySmtpAddress 参数一起使用。
| 类型: | String |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | True |
| 接受通配符: | False |