Просмотр эффективных разрешений
Применимо к: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Последнее изменение раздела: 2012-07-23
Разрешения в Microsoft Exchange Server 2010 предоставляются с помощью ролей управления, которые назначаются группам ролей управления, политикам назначения ролей управления, универсальным группам безопасности или напрямую пользователям. Пользователи получают разрешения, если являются членами групп ролей или универсальных групп безопасности, а также если для них назначены политики назначения ролей.
Большинство разрешений предоставляется на основе членства в группе ролей или назначения политик пользователям. Хотя использование групп ролей и политик назначения упрощает предоставление разрешений большому количеству пользователей, можно и не знать, кто является членом группы ролей или кому была назначена политика назначения. В этом случае окажется полезным переключатель GetEffectiveUsers для командлета Get-ManagementRoleAssignment. С его помощью можно просмотреть, каким пользователям предоставлены разрешения, посредством назначенных для этих пользователей групп ролей, политик назначений и универсальных групп безопасности.
Переключатель GetEffectiveUsers используется в командлете Get-ManagementRoleAssignment, если указан параметр Role. Указав этот переключатель при использовании командлета Get-ManagementRoleAssignment для определенной роли, выполняется оценка всех объектов в этой роли, то есть групп ролей, политик назначения и универсальных групп безопасности. После чего выводится список членов каждого объекта.
.gif "Примечание") Примечание. |
|---|
| Переключатель GetEffectiveUser не отображает тех пользователей, которые являются членами связанной внешней группы ролей. Если найдена связанная группа ролей, то вместо списка пользователей отображаются все члены связанной группы. Дополнительные сведения о разрешениях в нескольких лесах см. в разделе Общие сведения о разрешениях при использовании нескольких лесов. |
Дополнительные сведения о ролях управления, группах ролей и политиках назначения см. в разделе Общие сведения об управлении доступом на основе ролей.
Дополнительные сведения о назначениях ролей управления см. в разделе Общие сведения о назначениях ролей управления.
Необходимы сведения о других задачах управления, связанных с управлением разрешениями? См. раздел Управление разрешениями.
Использование командной консоли для получения списка всех действующих пользователей
| Примечание. |
|---|
| Консоль управления EMC невозможно использовать для получения списка всех действующих пользователей. |
Чтобы отобразить список пользователей, которым был предоставлены разрешения определенной роли, используйте следующий синтаксис.
Get-ManagementRoleAssignment -Role <role name> -GetEffectiveUsers
В этом примере отображается список пользователей, которые имеют разрешения, предоставленные ролью «Mail Recipients».
Get-ManagementRoleAssignment -Role "Mail Recipients" -GetEffectiveUsers
Если следует изменить свойства, которые возвращаются в списке, или экспортировать список в CSV-файл, см. подраздел Customize output and display it далее в этом разделе.
Подробные сведения о синтаксисе и параметрах см. в разделе Get-ManagementRoleAssignment.
Использование командой консоли для поиска определенного пользователя в определенной роли
| Примечание. |
|---|
| Для поиска пользователя в определенной роли невозможно использовать консоль управления EMC. |
Чтобы найти определенного пользователя, которому были предоставлены разрешения определенной роли управления, необходимо использовать командлет Get-ManagementRoleAssignment, который позволяет получить список всех эффективных пользователей, а затем передать выходные данные этого командлета в командлет Where. Командлет Where отфильтровывает выходные данные и возвращает только указанного пользователя. Используйте следующий синтаксис.
Get-ManagementRoleAssignment -Role <role name> -GetEffectiveUsers | Where { $_.EffectiveUserName -Eq "<name of user>" }
В этом примере выполняется поиск пользователя David Strome в роли Journaling.
Get-ManagementRoleAssignment -Role Journaling -GetEffectiveUsers | Where { $_.EffectiveUserName -Eq "David Strome" }
Сведения об изменении списка возвращаемых свойств или экспорте списка в файл в формате CSV см. в подразделе Customize output and display it далее в этом разделе.
Подробные сведения о синтаксисе и параметрах см. в разделе Get-ManagementRoleAssignment.
Использование командой консоли для нахождения определенного пользователя во всех ролях
| Примечание. |
|---|
| Для поиска пользователя во всех ролях невозможно использовать консоль управления EMC. |
Чтобы узнать о всех ролях, разрешения которых были предоставлены пользователю, следует использовать командлет Get-ManagementRoleAssignment, позволяющий получить всех действующих пользователей во всех ролях, а затем передать выходные данные в командлет Where. Командлет Where фильтрует выходные данные и возвращает только те назначения ролей, в соответствии с которыми этому пользователю были предоставлены разрешения.
Get-ManagementRoleAssignment -GetEffectiveUsers | Where { $_.EffectiveUserName -Eq "<name of user>" }
В этом примере выполняется поиск всех назначений ролей, в соответствии с которыми были предоставлены разрешения пользователю Kim Akers.
Get-ManagementRoleAssignment -GetEffectiveUsers | Where { $_.EffectiveUserName -Eq "Kim Akers" }
Сведения об изменении списка возвращаемых свойств или экспорте списка в файл в формате CSV см. в подразделе Customize output and display it далее в этом разделе.
Подробные сведения о синтаксисе и параметрах см. в разделе Get-ManagementRoleAssignment.
Использование командной консоли для настройки и отображения выходных данных
| Примечание. |
|---|
| Консоль EMC нельзя использовать для настройки и отображения выходных данных.. |
В выходных данных командлета Get-ManagementRoleAssignment по умолчанию могут не содержаться нужные сведения. Выходные данные командлета содержат различные свойства, которые можно просмотреть. Ниже перечислены некоторые свойства, которые могут оказаться полезными.
EffectiveUserName. Имя пользователя.
Role. Роль, предоставившая разрешения.
RoleAssigneeName. Группа ролей, политика назначения или универсальная группа безопасности, предоставленная роли и содержащая пользователя в свойстве
EffectiveUserName.RoleAssigneeType. Указывает объект назначения роли — группа ролей, политика назначения, универсальная группа безопасности или пользователь.
AssignmentMethod. Указывает, является ли назначение роли объекту прямым или косвенным.
CustomRecipientWriteScope. Настроенная область записи получателей (если применимо), которая была применена к назначению роли при его создании. Указанная в этом свойстве область имеет приоритет над неявной областью записи получателей, указанной в свойстве
RecipientWriteScope.CustomConfigWriteScope. Настроенная область записи конфигураций (если применимо), которая была применена к назначению роли при его создании. Указанная в этом свойстве область имеет приоритет над неявной областью записи конфигураций, указанной в свойстве
ConfigWriteScope.RecipientReadScope. Указывает неявную область чтения получателей, которые применена к этой роли.
RecipientWriteScope. Указывает неявную область записи получателей, которые применена к этой роли.
ConfigReadScope. Указывает неявную область чтения конфигураций, которые применена к этой роли.
ConfigWriteScope. Указывает неявную область записи конфигураций, которые применена к этой роли.
Чтобы выбрать свойства, которые следует отображать в списке, необходимо использовать почти такие же команды, которые использовались в разделах Use the Shell to list all effective users, Use the Shell to find a specific user on a role и Use the Shell to find a specific user on all roles. Отличие заключается в том, что результаты этих команд передаются в командлеты Format-Table или Select-Object. Командлет Format-Table используется для вывода списка результатов на экран. Командлет Select-Object используется для вывода списка результатов в CSV-файл.
Оба командлета позволяют определить свойства, которые будут отображаться в нужном порядке. Командлет Format-Table предоставляет больше возможностей при выводе результатов, а командлет Select-Object не изменяет выходные данные, что хорошо подходит для передачи списка в CSV-файл.
Дополнительные сведения о командлетах Format-Table и Select-Object см. в разделе Работа с выходными данными команды.
Вывод на экран пользовательского списка
Выберите необходимые для отображения сведения и найдите связанную команду в одной из следующих процедур.
Use the Shell to list all effective users
Use the Shell to find a specific user a role
Use the Shell to find a specific user on all roles
Затем выберите свойства, которые необходимо включить в список. Наконец, используйте следующий синтаксис для просмотра списка.
<command to retrieve list > | Format-Table <property 1>, <property 2>, <property ...>
В этом примере показано, как найти Сергея Озерова для всех ролей и отобразить свойства EffectiveUserName, Role, CustomRecipientWriteScope и CustomConfigWriteScope.
Get-ManagementRoleAssignment -GetEffectiveUsers | Where { $_.EffectiveUserName -Eq "David Strome" } | Format-Table EffectiveUserName, Role, CustomRecipientWriteScope, CustomConfigWriteScope
Подробные сведения о синтаксисе и параметрах см. в разделе Get-ManagementRoleAssignment.
Вывод пользовательского списка в CSV-файл
Чтобы экспортировать список в CSV-файл, необходимо передать результаты выполнения команды Get-ManagementRoleAssignment из соответствующей приведенной выше процедуры в командлет Select-Object. Затем выходные данные командлета Select-Object передаются в командлет Export-CSV, который сохраняет выходные данные, разделенные запятыми, в указанный файл.
Выберите необходимые для отображения сведения и найдите связанную команду в одной из следующих процедур.
Use the Shell to list all effective users
Use the Shell to find a specific user a role
Use the Shell to find a specific user on all roles
Затем выберите свойства, которые необходимо включить в список. Наконец, используйте следующий синтаксис для экспорта списка в CSV-файл.
<command to retrieve list > | Select-Object <property 1>, <property 2>, <property ...> | Export-CSV <filename>
+В этом примере показано, как найти Сергея Озерова для всех ролей и отобразить свойства EffectiveUserName, Role, CustomRecipientWriteScope и CustomConfigWriteScope.
Get-ManagementRoleAssignment -GetEffectiveUsers | Where { $_.EffectiveUserName -Eq "David Strome" } | Select-Object EffectiveUserName, Role, CustomRecipientWriteScope, CustomConfigWriteScope | Export-CSV c:\output.csv
Теперь можно просмотреть CSV-файл в соответствующем приложении.
Подробные сведения о синтаксисе и параметрах см. в разделе Get-ManagementRoleAssignment.
© Корпорация Майкрософт (Microsoft Corporation), 2010. Все права защищены.