Get-MailboxPermission
此 cmdlet 可在本地 Exchange 和基于云的服务中使用。 一些参数和设置可能只适用于某个特定的环境。
使用 Get-MailboxPermission cmdlet 可以检索邮箱的权限。
注意:在 Exchange Online PowerShell 中,建议使用 Get-EXOMailboxPermission cmdlet 而不是此 cmdlet。 有关详细信息,请参阅使用远程 PowerShell 连接到 Exchange Online。
有关以下语法部分的参数设置的详细信息,请参阅 Exchange cmdlet 语法。
语法
Get-MailboxPermission
[-Identity] <MailboxIdParameter>
[-Owner]
[-Credential <PSCredential>]
[-DomainController <Fqdn>]
[-GroupMailbox]
[-IncludeUserWithDisplayName]
[-ReadFromDomainController]
[-ResultSize <Unlimited>]
[-UseCustomRouting]
[<CommonParameters>] Get-MailboxPermission
[-Identity] <MailboxIdParameter>
[-User <SecurityPrincipalIdParameter>]
[-SoftDeletedMailbox]
[-Credential <PSCredential>]
[-DomainController <Fqdn>]
[-GroupMailbox]
[-IncludeSoftDeletedUserPermissions]
[-IncludeUnresolvedPermissions]
[-IncludeUserWithDisplayName]
[-ReadFromDomainController]
[-ResultSize <Unlimited>]
[-UseCustomRouting]
[<CommonParameters>] 说明
此 cmdlet 的输出显示以下信息:
- 标识:有问题的邮箱。
- 用户:安全主体 (对邮箱具有权限的用户、安全组、Exchange 管理角色组等 ) 。
- AccessRights:安全主体对邮箱拥有的权限。 可用值为 ChangeOwner (更改邮箱) 的所有者, ChangePermission (更改邮箱) 的权限,DeleteItem (删除邮箱) ,ExternalAccount (指示帐户不在同一域中) ,FullAccess (打开邮箱,访问其内容,但无法) 发送邮件,ReadPermission (读取邮箱) 的权限。 “拒绝”列中指示权限是允许还是拒绝。
- IsInherited:权限是继承 (True) 还是直接分配给邮箱 (False) 。 权限继承自邮箱数据库和/或 Active Directory。 通常,直接分配的权限会覆盖继承的权限。
- 拒绝:权限是允许 (False) 还是拒绝 (True) 。 通常,拒绝权限会覆盖允许权限。
默认情况下,以下权限分配给用户邮箱:
- FullAccess 和 ReadPermission 直接分配给 NT AUTHORITY\SELF。 此条目向用户授予对其自己的邮箱的权限。
- FullAccess 拒绝给管理员、域管理员、企业管理员和组织管理。 这些继承的权限会阻止这些用户和组成员打开其他用户的邮箱。
- 允许管理员、域管理员、企业管理员和组织管理使用 ChangeOwner、ChangePermission、DeleteItem 和 ReadPermission。 请注意,这些继承的权限条目也显示为允许 FullAccess。 但是,这些用户和组没有对邮箱的 FullAccess,因为继承的 Deny 权限条目将替代继承的 Allow 权限条目。
- FullAccess 由 NT AUTHORITY\SYSTEM 继承,ReadPermission 由 NT AUTHORITY\NETWORK 继承。
- FullAccess 和 ReadPermission 由 Exchange Server 继承,ChangeOwner、ChangePermission、DeleteItem 和 ReadPermission 由 Exchange 受信任子系统继承,ReadPermission 由托管可用性服务器继承。
默认情况下,其他安全组和角色组根据其位置 (本地 Exchange 或 Microsoft 365) 继承对邮箱的权限。
您必须先获得权限,然后才能运行此 cmdlet。 虽然本主题中列出了此 cmdlet 的所有参数,但如果这些参数并未包含在分配给您的权限中,那么您将无法使用这些参数。 若要查找在贵组织中运行任何 cmdlet 或参数所需的权限,请参阅 Find the permissions required to run any Exchange cmdlet。
示例
示例 1
Get-MailboxPermission -Identity john@contoso.com | Format-List此示例按其 SMTP 地址 john@contoso.com返回对邮箱的权限。
示例 2
Get-MailboxPermission -Identity john@contoso.com -User "Ayla"本示例返回用户 Ayla 对 John 邮箱的权限。
示例 3
Get-MailboxPermission -Identity Room222 -Owner本示例返回资源邮箱 Room222 的所有者信息。
参数
-Credential
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online
Credential 参数指定用于运行此命令的用户名和密码。 通常情况下,您可以在脚本中或在需要提供具有所需权限的不同凭据时使用此参数。
此参数的值需要 Get-Credential cmdlet。 要暂停此命令并接收凭据提示,请使用值 (Get-Credential)。 或者,在运行此命令之前,请将凭据存储在变量(例如,$cred = Get-Credential)中,然后将变量名称 ($cred) 用作此参数。 有关详细信息,请参阅 Get-Credential。
| 类型: | PSCredential |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-DomainController
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019
此参数只在本地 Exchange 中可用。
DomainController 参数指定此 cmdlet 从 Active Directory 读取数据或向其写入数据时使用的域控制器。 可以使用完全限定的域名 (FQDN) 来标识域控制器。 例如,dc01.contoso.com。
| 类型: | Fqdn |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-GroupMailbox
适用:Exchange Online
此参数仅在基于云的服务中可用。
需要 GroupMailbox 开关才能返回结果中的Microsoft 365 组。 不必为此开关指定值。
| 类型: | SwitchParameter |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-Identity
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online
Identity 参数指定要查看的邮箱。 可以使用能够唯一标识邮箱的任意值。 例如:
- 名称
- 别名
- 可分辨名称 (DN)
- 可分辨名称 (DN)
- 域\用户名
- 电子邮件地址
- GUID
- LegacyExchangeDN
- SamAccountName
- 用户 ID 或用户主体名称 (UPN)
| 类型: | MailboxIdParameter |
| Position: | 1 |
| 默认值: | None |
| 必需: | True |
| 接受管道输入: | True |
| 接受通配符: | False |
-IncludeSoftDeletedUserPermissions
适用:Exchange Online
此参数仅在基于云的服务中可用。
IncludeSoftDeletedUserPermissions 开关在结果中从软删除的邮箱用户返回权限。 不必为此开关指定值。
软删除的邮箱是已删除但仍可恢复的邮箱。
| 类型: | SwitchParameter |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-IncludeUnresolvedPermissions
适用:Exchange Online
此参数仅在基于云的服务中可用。
IncludeUnresolvedPermissions 开关在结果中返回未解析的权限。 不必为此开关指定值。
| 类型: | SwitchParameter |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-IncludeUserWithDisplayName
适用:Exchange Online
此参数仅在基于云的服务中可用。
{{ Fill IncludeUserWithDisplayName Description }}
| 类型: | SwitchParameter |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-Owner
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online
所有者开关返回由 Identity 参数指定的邮箱的所有者信息。 不必为此开关指定值。
不能将此开关与 User 参数一起使用。
| 类型: | SwitchParameter |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-ReadFromDomainController
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online
ReadFromDomainController 开关指定从用户域中的域控制器读取的信息。 不必为此开关指定值。
命令: Set-AdServerSettings -ViewEntireForest $true 若要包含林中的所有对象,需要 ReadFromDomainController 开关。 否则,命令可能会使用包含过时信息的全局编录。 此外,可能需要使用 ReadFromDomainController 开关运行命令的多个迭代才能获取信息。
默认情况下,收件人范围设置为托管 Exchange 服务器的域。
| 类型: | SwitchParameter |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-ResultSize
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online
ResultSize 参数指定了要返回的结果的最大数量。 若要返回所有与查询相匹配的请求,则请将此参数的值设为无限制。 默认值为 1000。
| 类型: | Unlimited |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-SoftDeletedMailbox
适用:Exchange Online
此参数仅在基于云的服务中可用。
需要 SoftDeletedMailbox 开关才能返回结果中的软删除邮箱。 不必为此开关指定值。
软删除的邮箱是仍然可以恢复的已删除邮箱。
| 类型: | SwitchParameter |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-UseCustomRouting
适用:Exchange Online
此参数仅在基于云的服务中可用。
{{ Fill UseCustomRouting Description }}
| 类型: | SwitchParameter |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-User
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online
User 参数按谁有权访问 Identity 参数指定的邮箱来筛选结果。 可以为此参数指定以下类型的用户或组 (安全主体) :
- 邮箱用户
- 邮件用户
- 安全组
为了获得最佳结果,我们建议使用以下值:
- UPN:例如,
user@contoso.com(用户仅) 。 - Domain\SamAccountName:例如
contoso\user。
否则,可以使用唯一标识用户或组的任何值。 例如:
- 名称
- 别名
- 可分辨名称 (DN)
- 可分辨名称 (DN)
- 域\用户名
- 电子邮件地址
- GUID
- LegacyExchangeDN
- SamAccountName
- 用户 ID 或用户主体名称 (UPN)
不能将此参数用于所有者开关。
| 类型: | SecurityPrincipalIdParameter |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
输入
Input types
若要了解此 cmdlet 接受的输入类型,请参阅 cmdlet 的输入和输出类型。 如果 cmdlet 的"输入类型"字段为空,则表明此 cmdlet 不接受输入数据。
输出
Output types
若要了解此 cmdlet 接受的返回类型(亦称为"输出类型"),请参阅 cmdlet 的输入和输出类型。 如果"输出类型"字段为空,则表明此 cmdlet 不返回任何数据。