Просмотр эффективных разрешений

Область применения: Exchange Server 2013 г.

Разрешения в Microsoft Exchange Server 2013 предоставляются с помощью ролей управления, которые назначаются группам ролей управления, политикам назначения ролей управления, универсальным группам безопасности или напрямую пользователям. Пользователи получают разрешения, если являются членами групп ролей или универсальных групп безопасности, а также если для них назначены политики назначения ролей.

Большинство разрешений предоставляется на основе членства в группе ролей или назначения политик пользователям. Хотя использование групп ролей и политик назначения упрощает предоставление разрешений большому количеству пользователей, можно и не знать, кто является членом группы ролей или кому была назначена политика назначения. Здесь можно использовать параметр GetEffectiveUsers в командлете Get-ManagementRoleAssignment . С его помощью можно просмотреть, каким пользователям предоставлены разрешения, посредством назначенных для этих пользователей групп ролей, политик назначений и универсальных групп безопасности.

Параметр GetEffectiveUsers используется с командлетом Get-ManagementRoleAssignment при использовании параметра Role . Задав этот параметр с определенной ролью, командлет Get-ManagementRoleAssignment проверяет всех назначенных ролей, таких как группы ролей, политики назначений и usgs, и перечисляет членов каждого из них.

Примечание.

Переключатель GetEffectiveUser не отображает тех пользователей, которые являются членами связанной внешней группы ролей. Если найдена связанная группа ролей, то вместо списка пользователей отображаются все члены связанной группы. Дополнительные сведения о разрешениях в нескольких лесах см. в разделе Общие сведения о разрешениях для нескольких лесов.

Дополнительные сведения о ролях управления, группах ролей и политиках назначения см. в разделе Understanding Role Based Access Control. Дополнительные сведения о назначениях ролей управления см. в разделе Общие сведения о назначениях ролей управления.

Ищете другие задачи управления, связанные с управлением разрешениями? См. сведения о разрешениях.

Что нужно знать перед началом работы

  • Предполагаемое время для завершения каждой процедуры: 5 минут

  • Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записях "Группы ролей" или "Политика назначения ролей" в разделе Разрешения для управления ролями .

  • Процедуры, описанные в этом разделе, можно выполнить только в командной консоли Exchange. Вы не можете использовать Центр администрирования Exchange (EAC) для просмотра действующих разрешений.

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.

Совет

Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по адресу Exchange Server.

Использование командной консоли для получения списка всех действующих пользователей

Чтобы отобразить список всех пользователей, которым ролью управления предоставлены разрешения, используйте следующий синтаксис.

Get-ManagementRoleAssignment -Role <role name> -GetEffectiveUsers

В этом примере отображается список пользователей, которые имеют разрешения, предоставленные ролью «Mail Recipients».

Get-ManagementRoleAssignment -Role "Mail Recipients" -GetEffectiveUsers

Если нужно изменить свойства, которые возвращаются в списке, или экспортировать список в файл данных с разделителями-запятыми (CSV), см. подраздел Использование командной консоли для настройки и отображения выходных данных далее в этом разделе.

Дополнительные сведения о синтаксисе и параметрах см. в разделе Get-ManagementRoleAssignment.

Использование командой консоли для поиска определенного пользователя в определенной роли

Чтобы найти определенного пользователя, которому были предоставлены разрешения определенной роли управления, необходимо использовать командлет Get-ManagementRoleAssignment, который позволяет получить список всех эффективных пользователей, а затем передать выходные данные этого командлета в командлет Where. Командлет Where отфильтровывает выходные данные и возвращает только указанного пользователя. Используйте следующий синтаксис.

Get-ManagementRoleAssignment -Role <role name> -GetEffectiveUsers | Where {$_.EffectiveUserName -Eq "<name of user>"}

В этом примере выполняется поиск пользователя David Strome в роли Journaling.

Get-ManagementRoleAssignment -Role Journaling -GetEffectiveUsers | Where {$_.EffectiveUserName -Eq "David Strome"}

Сведения об изменении возвращаемых свойств в списке или экспорте списка в файл в формате CSV см. в подразделе Использование командной консоли для настройки и отображения выходных данных далее в этом разделе.

Дополнительные сведения о синтаксисе и параметрах см. в разделе Get-ManagementRoleAssignment.

Использование командой консоли для нахождения определенного пользователя во всех ролях

Чтобы узнать о всех ролях, разрешения которых были предоставлены пользователю, следует использовать командлет Get-ManagementRoleAssignment, позволяющий получить всех действующих пользователей во всех ролях, а затем передать выходные данные в командлет Where. Командлет Where фильтрует выходные данные и возвращает только те назначения ролей, в соответствии с которыми этому пользователю были предоставлены разрешения.

Get-ManagementRoleAssignment -GetEffectiveUsers | Where {$_.EffectiveUserName -Eq "<name of user>"}

В этом примере выполняется поиск всех назначений ролей, в соответствии с которыми были предоставлены разрешения пользователю Kim Akers.

Get-ManagementRoleAssignment -GetEffectiveUsers | Where {$_.EffectiveUserName -Eq "Kim Akers"}

Сведения об изменении списка возвращаемых свойств или экспорте списка в файл в формате CSV см. в подразделе Использование командной консоли для настройки и отображения выходных данных далее в этом разделе.

Дополнительные сведения о синтаксисе и параметрах см. в разделе Get-ManagementRoleAssignment.

Использование командной консоли для настройки и отображения выходных данных

В выходных данных командлета Get-ManagementRoleAssignment по умолчанию могут не содержаться нужные сведения. Выходные данные командлета содержат различные свойства, которые можно просмотреть. Ниже перечислены некоторые свойства, которые могут оказаться полезными.

  • EffectiveUserName: имя пользователя.

  • Роль: роль, которая предоставляет разрешения.

  • RoleAssigneeName: группа ролей, политика назначения или usg, назначенная роли и содержащая пользователя в свойстве EffectiveUserName .

  • RoleAssigneeType: указывает, является ли назначение роли группе ролей, политике назначения, USG или пользователю.

  • AssignmentMethod: указывает, является ли назначение между ролью и назначенным ролью прямым или косвенным.

  • CustomRecipientWriteScope. Указывает настраиваемую область записи получателя, если она есть, которая была применена к назначению роли при его создании. Область, указанная в этом свойстве, переопределяет область записи неявного получателя, указанную в свойстве RecipientWriteScope .

  • CustomConfigWriteScope— указывает область пользовательской записи конфигурации, если она была применена к назначению роли при его создании. Область, указанная в этом свойстве, переопределяет область записи неявной конфигурации, указанную в свойстве ConfigWriteScope .

  • RecipientReadScope: указывает область неявного чтения получателя, применяемую к роли.

  • RecipientWriteScope: указывает область неявной записи получателя, которая применяется к роли.

  • ConfigReadScope: указывает неявную область чтения конфигурации, которая применяется к роли.

  • ConfigWriteScope: указывает область неявной записи конфигурации, которая применяется к роли.

Чтобы выбрать свойства, которые следует отображать в списке, используйте команды, аналогичные тем, которые использовались в разделах Использование командной консоли для получения списка всех действующих пользователей, Использование командой консоли для поиска определенного пользователя в определенной роли и Использование командой консоли для нахождения определенного пользователя во всех ролях. Отличие заключается в том, что результаты этих команд передаются в командлеты Format-Table или Select-Object. Командлет Format-Table используется для вывода списка результатов на экран. Командлет Select-Object используется для вывода списка результатов в CSV-файл.

Оба командлета позволяют определить свойства, которые будут отображаться в нужном порядке. Командлет Format-Table предоставляет больше возможностей при выводе результатов на экран, а командлет Select-Object не изменяет выходные данные, что хорошо подходит для передачи списка в CSV-файл.

Дополнительные сведения о командлетах Format-Table и Select-Object см. в разделе Работа с выходными данными команды.

Вывод на экран пользовательского списка

  1. Выберите отображаемые сведения и найдите связанную команду в одной из следующих процедур.

    • Use the Shell to list all effective users

    • Use the Shell to find a specific user a role

    • Use the Shell to find a specific user on all roles

  2. Выберите свойства, которые необходимо включить в список.

  3. Используйте следующий синтаксис для просмотра списка.

    <command to retrieve list > | Format-Table <property 1>, <property 2>, <property ...>
    

В этом примере выполняется поиск пользователя Дэвида Строме во всех ролях и отображаются EffectiveUserNameсвойства , Role, CustomRecipientWriteScopeи CustomConfigWriteScope .

Get-ManagementRoleAssignment -GetEffectiveUsers | Where {$_.EffectiveUserName -Eq "David Strome"} | Format-Table EffectiveUserName, Role, CustomRecipientWriteScope, CustomConfigWriteScope

Дополнительные сведения о синтаксисе и параметрах см. в разделе Get-ManagementRoleAssignment.

Вывод пользовательского списка в CSV-файл

Чтобы экспортировать список в CSV-файл, необходимо передать результаты выполнения команды Get-ManagementRoleAssignment из соответствующей процедуры, приведенной выше, в командлет Select-Object. Затем выходные данные командлета Select-Object передаются в командлет Export-CSV, который сохраняет выходные данные с разделителями-запятыми в указанный файл.

  1. Выберите отображаемые сведения и найдите связанную команду в одной из следующих процедур.

    • Use the Shell to list all effective users

    • Use the Shell to find a specific user a role

      • Use the Shell to find a specific user on all roles
  2. Выберите свойства, которые необходимо включить в список.

  3. Используйте следующий синтаксис для экспорта списка в CSV-файл.

    <command to retrieve list > | Select-Object <property 1>, <property 2>, <property ...> | Export-CSV <filename>
    

В этом примере выполняется поиск пользователя Дэвида Строме во всех ролях и отображаются EffectiveUserNameсвойства , Role, CustomRecipientWriteScopeи CustomConfigWriteScope .

Get-ManagementRoleAssignment -GetEffectiveUsers | Where {$_.EffectiveUserName -Eq "David Strome"} | Select-Object EffectiveUserName, Role, CustomRecipientWriteScope, CustomConfigWriteScope | Export-CSV c:\output.csv

Теперь можно просмотреть CSV-файл в соответствующем приложении.

Дополнительные сведения о синтаксисе и параметрах см. в разделе Get-ManagementRoleAssignment.