Administrar permisos para los destinatarios
En Exchange Server, puede usar el Centro de administración de Exchange (EAC) o el Shell de administración de Exchange para asignar permisos a un buzón o grupo para que otros usuarios puedan acceder al buzón (el permiso acceso completo) o enviar mensajes de correo electrónico que parecen provenir del buzón o grupo (los permisos Enviar como o Enviar en nombre). Los usuarios a los que se asignan estos permisos en otros buzones o grupos se denominan delegados.
Los permisos que puede asignar a los delegados para buzones y grupos en Exchange Server se describen en la tabla siguiente:
Nota: Aunque puede usar el Shell de administración de Exchange para asignar algunos o todos estos permisos a otros tipos de delegado en otros tipos de objetos de destinatario, este tema se centra en los tipos de objetos de delegado y destinatario que generan resultados útiles.
| Permiso | Descripción | Tipos de destinatarios en el EAC | Tipos de destinatarios adicionales en PowerShell | Delegar tipos en el EAC | Tipos de delegado adicionales en PowerShell |
|---|---|---|---|---|---|
| Acceso completo | Permite al delegado abrir el buzón y ver, agregar y quitar el contenido del buzón. No permite al delegado enviar mensajes desde el buzón. Si asigna el permiso de acceso completo a un buzón que está oculto en las listas de direcciones, el delegado no podrá abrir el buzón. De forma predeterminada, los buzones de arbitraje y de detección están ocultos en las listas de direcciones. De forma predeterminada, la característica de asignación automática de buzones usa detección automática para abrir automáticamente el buzón en el perfil de Outlook del delegado (además de su propio buzón). Tenga en cuenta que la asignación automática solo funcionará para los usuarios individuales a los que se conceden los permisos adecuados y no funcionará para ningún tipo de grupo. Si no desea que los buzones se asignen automáticamente, debe realizar una de las siguientes acciones:
|
Buzones de usuario Buzones vinculados Buzones de recursos Buzones compartidos |
Buzones de arbitraje Buzones de detección |
Buzones con cuentas de usuario Usuarios de correo con cuentas Grupos de seguridad habilitados para correo |
Cuentas de usuario que no están habilitadas para correo. Grupos de seguridad locales universales, globales y de dominio que no están habilitados para correo. |
| Enviar como | Permite al delegado enviar mensajes como si vinieran directamente del buzón o grupo. No existe ninguna indicación de que el delegado haya enviado el mensaje. No permite que el delegado lea el contenido del buzón. Si asigna el permiso Enviar como a un buzón que está oculto en las listas de direcciones, el delegado no podrá enviar mensajes desde el buzón. |
Buzones de usuario Buzones vinculados Buzones de recursos Buzones compartidos Grupos de distribución Grupos de distribución dinámicos Grupos de seguridad habilitados para correo |
No aplicable | Buzones con cuentas de usuario Usuarios de correo con cuentas Grupos de seguridad habilitados para correo |
No aplicable |
| Enviar en nombre de | Permite que el delegado envíe mensajes desde el buzón o grupo. La dirección From de estos mensajes muestra claramente que el mensaje fue enviado por el delegado (" <Delegado> en nombre de <MailboxOrGroup>"). Sin embargo, las respuestas a estos mensajes se envían al buzón o grupo, no al delegado. No permite que el delegado lea el contenido del buzón. Si asigna el permiso Enviar en nombre a un buzón que está oculto en las listas de direcciones, el delegado no podrá enviar mensajes desde el buzón. |
Buzones de usuario Buzones vinculados Buzones de recursos Grupos de distribución Grupos de distribución dinámicos Grupos de seguridad habilitados para correo |
Buzones compartidos | Buzones con cuentas de usuario Usuarios de correo con cuentas Grupos de seguridad habilitados para correo Grupos de distribución |
No aplicable |
Nota:
Si un usuario tiene los permisos Enviar como y Enviar en nombre a un buzón o grupo, siempre se usa el permiso Enviar como.| Buzones de usuario
¿Qué necesita saber antes de empezar?
Tiempo estimado para completar cada procedimiento: 2 minutos.
Debe tener asignados permisos para poder realizar los procedimientos de este tema. Para ver qué permisos necesita, consulte la entrada "Permisos de aprovisionamiento de destinatarios" en el tema Permisos de destinatarios .
Para obtener información sobre cómo abrir el Shell de administración de Exchange en su organización de Exchange local, consulte Open the Exchange Management Shell.
Los procedimientos descritos en este tema requieren permisos específicos. Vea cada procedimiento para ver la información de permisos.
Para obtener información acerca de los métodos abreviados de teclado aplicables a los procedimientos de este tema, consulte Métodos abreviados de teclado en el Centro de administración de Exchange.
Sugerencia
¿Problemas? Solicite ayuda en los foros de Exchange. Visite los foros en: Exchange Server.
Uso del EAC para asignar permisos a buzones individuales
En el EAC, haga clic en Destinatarios en el panel de características. En función del tipo de buzón para el que quiera asignar permisos, haga clic en una de las pestañas siguientes:
Buzones de correo: buzones de usuario o vinculados.
Recursos: buzones de sala o equipos.
Compartido: buzones compartidos.
En la lista de buzones, seleccione el buzón para el que desea asignar permisos y, a continuación, haga clic en
En la página de propiedades del buzón que se abre, haga clic en Delegación de buzones y configure uno o varios de los permisos siguientes:
Enviar como: los mensajes enviados por un delegado parecen proceder del buzón.
Enviar en nombre: los mensajes enviados por un delegado tienen " <Delegado> en nombre del <buzón>" en la dirección Desde. Tenga en cuenta que este permiso no está disponible en el EAC para buzones compartidos.
Acceso completo: el delegado puede abrir el buzón y hacer cualquier cosa excepto enviar mensajes.
Para asignar permisos a delegados, haga clic en el
Con el permiso adecuado. Aparece un cuadro de diálogo que muestra los usuarios o grupos que pueden tener asignado el permiso. Seleccione el usuario o grupo de la lista y, a continuación, haga clic en Agregar. Repita este proceso tantas veces como sea necesario. También puede buscar usuarios o grupos en el cuadro de búsqueda escribiendo todo o parte del nombre y, a continuación, haciendo clic en 
. Cuando haya terminado de seleccionar delegados, haga clic en Aceptar.Para quitar un permiso de un delegado, seleccione el delegado en la lista con el permiso adecuado y, a continuación, haga clic en
Cuando haya terminado, haga clic en Guardar.
Uso del EAC para asignar permisos a varios buzones al mismo tiempo
En el EAC, vaya a Destinatarios>Buzones.
Seleccione los buzones para los que desea asignar permisos. Use haga clic en + Tecla Mayús + haga clic para seleccionar un intervalo de buzones de correo o Ctrl tecla + clic para seleccionar varios buzones individuales. El título del panel de detalles cambia a Edición masiva , como se muestra en el diagrama siguiente.
Tenga en cuenta que los buzones que seleccione deben ser del mismo tipo. Por ejemplo, si selecciona tanto buzones de usuario como buzones vinculados, recibirá una advertencia en el panel de detalles que indica que la edición masiva no funcionará.
En la parte inferior del panel de detalles, haga clic en Más opciones. En la opción Delegación de buzón que aparece, elija Agregar o Quitar. Según su selección, siga uno de los siguientes pasos:
Agregar: en el cuadro de diálogo Agregar delegación masiva que aparece, haga clic en el
Bajo el permiso adecuado (Enviar como, Enviar en nombre o Acceso completo). Cuando haya terminado de seleccionar usuarios o grupos para agregar como delegados, haga clic en Guardar.Quitar: en el cuadro de diálogo Quitar delegación masiva que aparece, haga clic en el
Bajo el permiso adecuado (Enviar como, Enviar en nombre o Acceso completo). Cuando haya terminado de seleccionar usuarios o grupos para quitar de los delegados existentes, haga clic en Guardar.
Uso del EAC para asignar permisos a grupos
En el EAC, vaya a Destinatarios>Grupos.
En la lista de grupos, seleccione el grupo para el que desea asignar permisos y, a continuación, haga clic en
En la página de propiedades del grupo que se abre, haga clic en Delegación de grupo y configure uno de los permisos siguientes:
Enviar como: los mensajes enviados por un delegado parecen proceder del grupo.
Enviar en nombre: los mensajes enviados por un delegado tienen " <Delegado> en nombre del <grupo>" en la dirección Desde.
Para asignar permisos a delegados, haga clic en el
Con el permiso adecuado. Aparece un cuadro de diálogo que muestra los usuarios o grupos que pueden tener asignado el permiso. Seleccione el usuario o grupo de la lista y, a continuación, haga clic en Agregar. Repita este proceso tantas veces como sea necesario. También puede buscar usuarios o grupos en el cuadro de búsqueda escribiendo todo o parte del nombre y, a continuación, haciendo clic en . Cuando haya terminado de seleccionar delegados, haga clic en Aceptar.Para quitar un permiso de un delegado, seleccione el delegado en la lista con el permiso adecuado y, a continuación, haga clic en
Cuando haya terminado, haga clic en Guardar.
Uso del Shell de administración de Exchange para asignar el permiso de acceso completo a buzones
Use los cmdlets Add-MailboxPermission y Remove-MailboxPermission para administrar el permiso de acceso completo para los buzones. Estos cmdlets usan la misma sintaxis básica:
Add-MailboxPermission -Identity <MailboxIdentity> -User <DelegateIdentity> -AccessRights FullAccess -InheritanceType All [-AutoMapping $false]
Para obtener más información, vea Add-MailboxPermission.
Remove-MailboxPermission -Identity <MailboxIdentity> -User <DelegateIdentity> -AccessRights FullAccess -InheritanceType All
Para obtener más información, vea Remove-MailboxPermission.
En este ejemplo se asigna al delegado Raymond Sam permisos de Acceso total al buzón de correo de Terry Adams.
Add-MailboxPermission -Identity "Terry Adams" -User raymonds -AccessRights FullAccess -InheritanceType All
En este ejemplo se asigna a Esther Valle el permiso de acceso completo al buzón de búsqueda de detección predeterminado de la organización e impide que el buzón se abra automáticamente en Outlook de Esther Valle.
Add-MailboxPermission -Identity "DiscoverySearchMailbox{D919BA05-46A6-415f-80AD-7E09334BB852}" -User estherv -AccessRights FullAccess -InheritanceType All -AutoMapping $false
En este ejemplo se asigna a los miembros del grupo de seguridad habilitado para correo del departamento de soporte técnico el permiso de acceso completo al buzón compartido denominado Vales del departamento de soporte técnico.
Add-MailboxPermission -Identity "Helpdesk Tickets" -User Helpdesk -AccessRights FullAccess -InheritanceType All
En este ejemplo se quita el permiso de acceso completo para Jim Hance del buzón de Ayla Kol.
Remove-MailboxPermission -Identity ayla -User "Jim Hance" -AccessRights FullAccess -InheritanceType All
¿Cómo saber si el proceso se ha completado correctamente?
Para comprobar que ha asignado o quitado correctamente el permiso de acceso completo para un delegado en un buzón de correo, use cualquiera de los procedimientos siguientes:
En las propiedades del buzón del EAC, compruebe que el delegado aparece o no en Acceso completo de delegación> debuzones.
Reemplace <MailboxIdentity> por la identidad del buzón de correo y ejecute el siguiente comando en el Shell de administración de Exchange para comprobar que el delegado está o no aparece.
Get-MailboxPermission <MailboxIdentity> | where {$_.AccessRights -like 'Full*'} | Format-Table -Auto User,Deny,IsInherited,AccessRightsPara obtener más información, vea Get-MailboxPermission.
Uso del Shell de administración de Exchange para asignar el permiso Enviar como a buzones y grupos
Use los cmdlets Add-AdPermission y Remove-AdPermission para administrar el permiso Enviar como para buzones. Estos cmdlets usan la misma sintaxis básica:
<Add-AdPermission | Remove-AdPermission> -Identity <MailboxOrGroupNameOrDN> -User <DelegateIdentity> [-AccessRights ExtendedRight] -ExtendedRights "Send As"
Para obtener más información, vea Add-AdPermission y Remove-AdPermission.
Notas:
El parámetro Identity requiere que use el valor Name o DistinguishedName (DN) del buzón o grupo.
- Nombre: este valor puede o no ser el mismo que el nombre para mostrar. Por ejemplo,
Felipe Apodaca. - DistinguishedName: este valor siempre contiene el valor Name y usa la sintaxis LDAP de Active Directory. Por ejemplo,
CN=Felipe Apodaca,CN=Users,DC=contoso,DC=com.
Para buscar estos valores para un buzón o grupo, puede usar el cmdlet Get-Recipient , que acepta muchos valores diferentes para el parámetro Identity . Por ejemplo:
Get-Recipient -Identity helpdesk@contoso.com | Format-List Name,DistinguishedName- Nombre: este valor puede o no ser el mismo que el nombre para mostrar. Por ejemplo,
Los comandos funcionan con o sin
-AccessRights ExtendedRight, por lo que se muestran como opcionales en la sintaxis.
En este ejemplo se asigna el permiso Enviar como al grupo de seguridad habilitado para correo del departamento de soporte técnico en el buzón compartido denominado Equipo de soporte técnico del departamento de soporte técnico.
Add-ADPermission -Identity "Helpdesk Support Team" -User Helpdesk -ExtendedRights "Send As"
En este ejemplo se quita el permiso Enviar como al usuario Pilar Pinilla en el buzón de James Alvord.
Remove-ADPermission -Identity "James Alvord" -User pilarp -ExtendedRights "Send As"
¿Cómo saber si el proceso se ha completado correctamente?
Para comprobar que ha asignado o quitado correctamente el permiso Enviar como para un delegado en un buzón o grupo, use uno de los procedimientos siguientes:
En las propiedades del buzón de correo o grupo del EAC, compruebe que el delegado aparece o no en la delegación> de buzónEnviar como o Enviarcomodelegación> de grupo.
Reemplace <MailboxOrGroupNameOrDN> por el nombre o el nombre distintivo del buzón o grupo y ejecute el siguiente comando en el Shell de administración de Exchange para comprobar que el delegado está o no aparece en la lista.
Get-ADPermission -Identity <MailboxOrGroupNameOrDN> | where {$_.ExtendedRights -like 'Send*'} | Format-Table -Auto User,Deny,ExtendedRightsPara obtener más información, vea Get-AdPermission.
Use el Shell de administración de Exchange para asignar el permiso Enviar en nombre a buzones y grupos
Use el parámetro GrantSendOnBehalfTo en los distintos cmdlets set- de buzón y grupo para administrar el permiso Enviar en nombre para buzones y grupos:
Set-Mailbox
Set-DistributionGroup: grupos de distribución y grupos de seguridad habilitados para correo.
Set-DynamicDistributionGroup
La sintaxis básica de estos cmdlets es:
<Cmdlet> -Identity <MailboxOrGroupIdentity> -GrantSendOnBehalfTo <Delegates>
El parámetro GrantSendOnBehalfTo tiene las siguientes opciones para los valores delegados:
Reemplazar delegados existentes:
<DelegateIdentity>o"<DelegateIdentity1>","<DelegateIdentity2>",...Agregue o quite delegados sin afectar a otros delegados:
@{Add="\<value1\>","\<value2\>"...; Remove="\<value1\>","\<value2\>"...}Quitar todos los delegados: use el valor
$null.
En este ejemplo se asigna al delegado Holly Holt el permiso de Enviar en nombre de al buzón de Sean Chai.
Set-Mailbox -Identity seanc@contoso.com -GrantSendOnBehalfTo hollyh
En este ejemplo se agrega el grupo tempassistants@contoso.com a la lista de delegados que tienen permiso Enviar en nombre al buzón compartido de Ejecutivos de Contoso.
Set-Mailbox "Contoso Executives" -GrantSendOnBehalfTo @{Add="tempassistants@contoso.com"}
En este ejemplo se asigna el permiso Enviar en nombre de a la delegada Sara Davis en el grupo de distribución Printer Support.
Set-DistributionGroup -Identity printersupport@contoso.com -GrantSendOnBehalfTo sarad
En este ejemplo se quita el permiso Enviar en nombre que se asignó al administrador en el grupo de distribución dinámica Todos los empleados.
Set-DynamicDistributionGroup "All Employees" -GrantSendOnBehalfTo @{Remove="Administrator"}
¿Cómo saber si el proceso se ha completado correctamente?
Para comprobar que ha asignado o quitado correctamente el permiso Enviar en nombre para un delegado en un buzón o grupo, use uno de los procedimientos siguientes:
En las propiedades del buzón de correo o grupo del EAC, compruebe que el delegado aparece o no en la delegación> de buzónEnviar como o Enviarcomodelegación> de grupo.
Reemplace <MailboxIdentity> o <GroupIdentity> por la identidad del buzón o grupo y ejecute uno de los siguientes comandos en el Shell de administración de Exchange para comprobar que el delegado está o no aparece en la lista.
Buzón:
Get-Mailbox -Identity <MailboxIdentity> | Format-List GrantSendOnBehalfToGrupo:
Get-DistributionGroup -Identity <GroupIdentity> | Format-List GrantSendOnBehalfToGrupo de distribución dinámica:
Get-DynamicDistributionGroup -Identity <GroupIdentity> | Format-List GrantSendOnBehalfTo
Pasos siguientes
Para obtener más información sobre cómo los delegados pueden usar los permisos que se les asignan en buzones y grupos, consulte los temas siguientes: