Gerenciar permissões para destinatários

Em Exchange Server, você pode usar o Centro de Administração do Exchange (EAC) ou o Shell de Gerenciamento do Exchange para atribuir permissões a uma caixa de correio ou grupo para que outros usuários possam acessar a caixa de correio (a permissão de Acesso Completo) ou enviar mensagens de email que parecem vir da caixa de correio ou grupo (as permissões Enviar Como ou Enviar em Nome). Os usuários que receberam essas permissões em outras caixas de correio ou grupos são chamados de representantes.

As permissões que você pode atribuir aos delegados para caixas de correio e grupos em Exchange Server são descritas na seguinte tabela:

Observação: embora você possa usar o Shell de Gerenciamento do Exchange para atribuir algumas ou todas essas permissões a outros tipos de delegados em outros tipos de objetos destinatários, este tópico se concentra nos tipos de objeto delegado e destinatário que produzem resultados úteis.

Permissão Descrição Tipos de destinatário no EAC Tipos de destinatário adicionais no PowerShell Tipos de delegado no EAC Tipos de delegado adicionais no PowerShell
Acesso Completo Permite que o representante abra a caixa de correio e exiba, adicione e remova o conteúdo da caixa de correio. Não permite que o representante envie mensagens da caixa de correio.

Se você atribuir a permissão de Acesso Completo a uma caixa de correio oculta de listas de endereços, o delegado não poderá abrir a caixa de correio. Por padrão, as caixas de correio de descoberta e arbitragem são ocultadas das listas de endereços.

Por padrão, o recurso de mapeamento automático da caixa de correio usa a descoberta automática para abrir a caixa de correio automaticamente no perfil Outlook do representante (além de sua própria caixa de correio). Observe que o mapeamento automático só funcionará para usuários individuais que receberam as permissões adequadas e não funcionarão para nenhum tipo de grupo. Se você não quiser que as caixas de correio sejam mapeadas automaticamente, você precisará executar uma das seguintes ações:

Caixas de correio de usuários

Caixas de correio vinculadas

Caixas de correio de recurso

Caixas de correio compartilhadas

Caixas de correio de arbitragem

Caixas de correio de descoberta

Caixas de correio com contas de usuário

Usuários de email com contas

Grupos de segurança habilitados para email

Contas de usuário que não estão habilitadas para email.

Grupos de segurança locais universais, globais e de domínio que não estão habilitados para email.

Enviar como Permite que o representante envie mensagens como se tivesse vindo diretamente da caixa de correio ou do grupo. Não há nenhuma indicação de que a mensagem foi enviada pelo representante.

Não permite que o representante leia o conteúdo da caixa de correio.

Se você atribuir a permissão Enviar como a uma caixa de correio oculta de listas de endereços, o delegado não poderá enviar mensagens da caixa de correio.

Caixas de correio de usuário

Caixas de correio vinculadas

Caixas de correio de recurso

Caixas de correio compartilhadas

Grupos de distribuição

Grupos dinâmicos de distribuição

Grupos de segurança habilitados para email

n/d Caixas de correio com contas de usuário

Usuários de email com contas

Grupos de segurança habilitados para email

n/d
Enviar em nome de Permite que o representante envie mensagens da caixa de correio ou do grupo. O endereço From dessas mensagens mostra claramente que a mensagem foi enviada pelo delegado (" <Delegado> em nome do <MailboxOrGroup>"). No entanto, as respostas a essas mensagens são enviadas à caixa de correio ou grupo, não ao representante.

Não permite que o representante leia o conteúdo da caixa de correio.

Se você atribuir a permissão Enviar em nome a uma caixa de correio oculta de listas de endereços, o delegado não poderá enviar mensagens da caixa de correio.

Caixas de correio de usuário

Caixas de correio vinculadas

Caixas de correio de recurso

Grupos de distribuição

Grupos dinâmicos de distribuição

Grupos de segurança habilitados para email

Caixas de correio compartilhadas Caixas de correio com contas de usuário

Usuários de email com contas

Grupos de segurança habilitados para email

Grupos de distribuição

n/d

Observação

Se um usuário tiver permissões Enviar como e enviar em nome para uma caixa de correio ou grupo, a permissão Enviar como sempre será usada.| Caixas de correio do usuário

Do que você precisa saber para começar?

  • Tempo estimado para concluir cada procedimento: 2 minutos.

  • Você precisa receber permissões para poder executar os procedimentos neste tópico. Para ver quais permissões você precisa, consulte a entrada "Permissões de provisionamento do destinatário" no tópico Permissões de Destinatários .

  • Para saber como abrir o Shell de Gerenciamento do Exchange em sua organização do Exchange local, confira Open the Exchange Management Shell.

  • Os procedimentos neste tópico exigem permissões específicas. Consulte cada procedimento para ver informações sobre permissões.

  • Para informações sobre atalhos de teclado que possam se aplicar aos procedimentos neste tópico, confira Atalhos de teclado no Centro de Administração do Exchange.

Dica

Está com problemas? Peça ajuda nos fóruns do Exchange. Visite os fóruns em: Exchange Server.

Usar o EAC para atribuir permissões a caixas de correio individuais

  1. No EAC, clique em Destinatários no painel de recurso. Dependendo do tipo de caixa de correio ao qual você deseja atribuir permissões, clique em uma das seguintes guias:

    • Caixas de correio: caixas de correio do usuário ou vinculadas.

    • Recursos: caixas de correio de sala ou de equipamento.

    • Compartilhado: Caixas de correio compartilhadas.

  2. Na lista de caixas de correio, selecione a caixa de correio para a qual você deseja atribuir permissões e clique em Editarícone..

  3. Na página de propriedades da caixa de correio que abrir, clique em Delegação da caixa de correio e configure uma ou mais das seguintes permissões:

    • Enviar como: as mensagens enviadas por um delegado parecem vir da caixa de correio.

    • Enviar em nome: as mensagens enviadas por um delegado têm " <Delegado> em nome da caixa de <correio>" no endereço De. Observe que essa permissão não está disponível no EAC para caixas de correio compartilhadas.

    • Acesso Completo: o delegado pode abrir a caixa de correio e fazer qualquer coisa, exceto enviar mensagens.

    Para atribuir permissões aos delegados, clique em Adicionar ícone. Na permissão apropriada. Será exibida uma caixa de diálogo que lista os usuários ou grupos que podem receber a atribuição da permissão. Selecione o usuário ou grupo na lista e, em seguida, clique em Adicionar. Repita esse processo quantas vezes for necessário. Você também pode pesquisar usuários ou grupos na caixa de pesquisa digitando todo ou parte do nome e clicando no ícone Pesquisar Pesquisa. Quando terminar de selecionar delegados, clique em OK.

    Para remover uma permissão de um delegado, selecione o delegado na lista na permissão apropriada e clique em Removerícone..

  4. Quando concluir, clique em Salvar.

Use o EAC para atribuir permissões a várias caixas de correio ao mesmo tempo

  1. No EAC, navegue até Destinatários>Caixas de correio.

  2. Marque as caixas de correio às quais você deseja atribuir permissões. Use clique + Shift + clique para selecionar um intervalo de caixas de correio ou Ctrl + clique para selecionar várias caixas de correio individuais. O título do painel de detalhes é alterado para Edição em massa conforme mostrado no diagrama a seguir.

    Selecione em massa caixas de correio no EAC.

    Observe que as caixas de correio que você selecionar precisam ser do mesmo tipo. Por exemplo, se você selecionar tanto as caixas de correio do usuário quanto as caixas de correio vinculadas, receberá um aviso no painel de detalhes dizendo que a edição em massa não funcionará.

  3. Na parte inferior do painel de detalhes, clique em Mais opções. Na opção Delegação da Caixa de Correio que aparecer, escolha Adicionar ou Remover. Dependendo da sua seleção, execute uma das seguintes etapas:

    • Adicionar: na caixa de diálogo Adicionar Delegação em Massa exibida, clique em Adicionarícone Adicionar. na permissão apropriada (Enviar Como, Enviar em Nome ou Acesso Completo). Quando terminar de selecionar usuários ou grupos para adicionar como delegados, clique em Salvar.

    • Remover: na caixa de diálogo Remover delegação em massa exibida, clique em Adicionarícone Adicionar. na permissão apropriada (Enviar Como, Enviar em Nome ou Acesso Completo). Quando terminar de selecionar usuários ou grupos para remover dos delegados existentes, clique em Salvar.

Usar o EAC para atribuir permissões aos grupos

  1. No EAC, acesse Destinatários>Grupos.

  2. Na lista de grupos, selecione o grupo para o qual você deseja atribuir permissões e clique em Editarícone..

  3. Na página de propriedades de grupo que abrir, clique em Delegação de grupo e configure uma das seguintes permissões:

    • Enviar como: as mensagens enviadas por um delegado parecem vir do grupo.

    • Enviar em nome: as mensagens enviadas por um delegado têm " <Delegado> em nome do <Grupo>" no endereço De.

  4. Para atribuir permissões aos delegados, clique em Adicionar ícone. Na permissão apropriada. Será exibida uma caixa de diálogo que lista os usuários ou grupos que podem receber a atribuição da permissão. Selecione o usuário ou grupo na lista e, em seguida, clique em Adicionar. Repita esse processo quantas vezes for necessário. Você também pode pesquisar usuários ou grupos na caixa de pesquisa digitando todo ou parte do nome e clicando no ícone Pesquisar Pesquisa. Quando terminar de selecionar delegados, clique em OK.

    Para remover uma permissão de um delegado, selecione o delegado na lista na permissão apropriada e clique em Removerícone..

  5. Quando concluir, clique em Salvar.

Usar o Shell de Gerenciamento do Exchange para atribuir a permissão Acesso Completo a caixas de correio

Você usa os cmdlets Add-MailboxPermission e Remove-MailboxPermission para gerenciar a permissão de Acesso Completo para caixas de correio. Esses cmdlets usam a mesma sintaxe básica:

Add-MailboxPermission -Identity <MailboxIdentity> -User <DelegateIdentity> -AccessRights FullAccess -InheritanceType All [-AutoMapping $false]

Para saber mais, veja Add-MailboxPermission.

Remove-MailboxPermission -Identity <MailboxIdentity> -User <DelegateIdentity> -AccessRights FullAccess -InheritanceType All

Para saber mais, veja Remove-MailboxPermission.

Este exemplo atribui ao representante Raymond Sam a permissão de Acesso Completo para a caixa de correio de Terry Adams.

Add-MailboxPermission -Identity "Terry Adams" -User raymonds -AccessRights FullAccess -InheritanceType All

Este exemplo atribui à Esther Valle a permissão de Acesso Completo à caixa de correio de pesquisa de descoberta padrão da organização e impede que a caixa de correio abra automaticamente no Outlook de Esther Valle.

Add-MailboxPermission -Identity "DiscoverySearchMailbox{D919BA05-46A6-415f-80AD-7E09334BB852}" -User estherv -AccessRights FullAccess -InheritanceType All -AutoMapping $false

Este exemplo atribui aos membros do grupo de segurança habilitado para email do suporte técnico a permissão de Acesso Completo à caixa de correio compartilhada denominada Tíquetes do suporte técnico.

Add-MailboxPermission -Identity "Helpdesk Tickets" -User Helpdesk -AccessRights FullAccess -InheritanceType All

Este exemplo remove a permissão de Acesso Completo para Jim Hance da caixa de correio de Ayla Kol.

Remove-MailboxPermission -Identity ayla -User "Jim Hance" -AccessRights FullAccess -InheritanceType All

Como saber se funcionou?

Para verificar se você atribuiu ou removeu com êxito a permissão de Acesso Completo para um delegado em uma caixa de correio, use um dos seguintes procedimentos:

  • Nas propriedades da caixa de correio no EAC, verifique se o delegado está ou não está listado na delegação> de caixa de correioAcesso Completo.

  • Substitua <MailboxIdentity> pela identidade da caixa de correio e execute o comando a seguir no Shell de Gerenciamento do Exchange para verificar se o delegado está ou não está listado..

    Get-MailboxPermission <MailboxIdentity> | where {$_.AccessRights -like 'Full*'} | Format-Table -Auto User,Deny,IsInherited,AccessRights
    

    Para saber mais, veja Get-MailboxPermission.

Usar o Shell de Gerenciamento do Exchange para atribuir a permissão Enviar como a caixas de correio e grupos

Você usa os cmdlets Add-AdPermission e Remove-AdPermission para gerenciar a permissão Enviar como para caixas de correio. Esses cmdlets usam a mesma sintaxe básica:

<Add-AdPermission | Remove-AdPermission> -Identity <MailboxOrGroupNameOrDN> -User <DelegateIdentity> [-AccessRights ExtendedRight] -ExtendedRights "Send As"

Para saber mais, veja Add-AdPermission e Remove-AdPermission.

Observações:

  • O parâmetro Identity exige que você use o valor Name ou DistinguishedName (DN) da caixa de correio ou grupo.

    • Nome: esse valor pode ou não ser o mesmo que o nome de exibição. Por exemplo, Felipe Apodaca.
    • DistinguishedName: esse valor sempre contém o valor Name e usa a sintaxe LDAP do Active Directory. Por exemplo, CN=Felipe Apodaca,CN=Users,DC=contoso,DC=com.

    Para localizar esses valores para uma caixa de correio ou grupo, você pode usar o cmdlet Get-Recipient , que aceita muitos valores diferentes para o parâmetro Identity . Por exemplo:

    Get-Recipient -Identity helpdesk@contoso.com | Format-List Name,DistinguishedName
    
  • Os comandos funcionam com ou sem -AccessRights ExtendedRight, razão pela qual são mostrados como opcionais na sintaxe.

Este exemplo atribui a permissão Enviar como ao grupo de segurança habilitado para email do suporte técnico na caixa de correio compartilhada chamada Equipe do suporte técnico.

Add-ADPermission -Identity "Helpdesk Support Team" -User Helpdesk -ExtendedRights "Send As"

Este exemplo remove a permissão de Enviar Como para o usuário Pilar Pinilla na caixa de correio de James Alvord.

Remove-ADPermission -Identity "James Alvord" -User pilarp -ExtendedRights "Send As"

Como saber se funcionou?

Para verificar se você atribuiu ou removeu com êxito a permissão Enviar como para um delegado em uma caixa de correio ou grupo, use um dos seguintes procedimentos:

  • Nas propriedades da caixa de correio ou grupo no EAC, verifique se o delegado está ou não está listado na delegação> da caixa de correioEnviar Como ou Delegação> de GrupoEnviar Como.

  • Substitua <MailboxOrGroupNameOrDN> pelo nome ou nome distinto da caixa de correio ou grupo e execute o seguinte comando no Shell de Gerenciamento do Exchange para verificar se o delegado está ou não está listado.

    Get-ADPermission -Identity <MailboxOrGroupNameOrDN> | where {$_.ExtendedRights -like 'Send*'} | Format-Table -Auto User,Deny,ExtendedRights
    

    Para saber mais, veja Get-AdPermission.

Use o Shell de Gerenciamento do Exchange para atribuir a permissão Enviar em nome de a caixas de correio e grupos

Use o parâmetro GrantSendOnBehalfTo na caixa de correio e nos cmdlets set-group para gerenciar a permissão Enviar em nome para caixas de correio e grupos:

  • Set-Mailbox

  • Set-DistributionGroup: grupos de distribuição e grupos de segurança habilitados para email.

  • Set-DynamicDistributionGroup

A sintaxe básica para esses cmdlets é:

<Cmdlet> -Identity <MailboxOrGroupIdentity> -GrantSendOnBehalfTo <Delegates>

O parâmetro GrantSendOnBehalfTo tem as seguintes opções para valores delegados:

  • Substituir delegados existentes: <DelegateIdentity> ou "<DelegateIdentity1>","<DelegateIdentity2>",...

  • Adicionar ou remover delegados sem afetar outros delegados: @{Add="\<value1\>","\<value2\>"...; Remove="\<value1\>","\<value2\>"...}

  • Remover todos os delegados: use o valor $null.

Este exemplo atribui ao representante Holly Holt a permissão de Enviar Em Nome De para a caixa de correio de Sean Chai.

Set-Mailbox -Identity seanc@contoso.com -GrantSendOnBehalfTo hollyh

Este exemplo adiciona o grupo tempassistants@contoso.com à lista de delegados que têm permissão Enviar em nome para a caixa de correio compartilhada Contoso Executives.

Set-Mailbox "Contoso Executives" -GrantSendOnBehalfTo @{Add="tempassistants@contoso.com"}

Este exemplo atribui ao representante Sara Davis a permissão de Enviar Em Nome De para o grupo de distribuição Suporte da Impressora.

Set-DistributionGroup -Identity printersupport@contoso.com -GrantSendOnBehalfTo sarad

Este exemplo remove a permissão Enviar em nome de que foi atribuída ao administrador no grupo dinâmico de distribuição Todos os funcionários.

Set-DynamicDistributionGroup "All Employees" -GrantSendOnBehalfTo @{Remove="Administrator"}

Como saber se funcionou?

Para verificar se você atribuiu ou removeu com êxito a permissão Enviar em Nome para um delegado em uma caixa de correio ou grupo, use um dos seguintes procedimentos:

  • Nas propriedades da caixa de correio ou grupo no EAC, verifique se o delegado está ou não está listado na delegação> da caixa de correioEnviar Como ou Delegação> de GrupoEnviar Como.

  • Substitua <MailboxIdentity> ou <GroupIdentity> pela identidade da caixa de correio ou grupo e execute um dos seguintes comandos no Shell de Gerenciamento do Exchange para verificar se o delegado está ou não está listado.

    • Caixa de Correio:

      Get-Mailbox -Identity <MailboxIdentity> | Format-List GrantSendOnBehalfTo
      
    • Grupo:

      Get-DistributionGroup -Identity <GroupIdentity> | Format-List GrantSendOnBehalfTo
      
    • Grupo dinâmico de distribuição:

      Get-DynamicDistributionGroup -Identity <GroupIdentity> | Format-List GrantSendOnBehalfTo
      

Próximas etapas

Saiba como os representantes podem usar as permissões atribuídas a eles em caixas de correio e grupos nos tópicos a seguir: