Share via

檢視有效權限

  • 發行項

 

適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3

上次修改主題的時間: 2012-07-23

Microsoft Exchange Server 2010 中的權限是透過管理角色來授與,而這些角色指派給管理角色群組、管理角色指派原則、萬用安全性群組 (USG) 或直接指派給使用者。使用者獲得權限的時機是當他是角色群組或 USG 的成員時,或被指派角色指派原則時。

大部分權限都是根據指派給使用者的角色群組成員資格或原則來授與。雖然角色群組和指派原則可用來輕鬆地將權限授與大量的使用者,但您可能不知道誰是角色群組的成員,或誰已被指派原則。這就是 Get-ManagementRoleAssignment 指令程式上的 GetEffectiveUsers 參數的用處。它讓您知道哪些使用者是透過被指派角色群組、指派原則及 USG 而被授與管理角色所賦有的權限。

在使用 Role 參數時,GetEffectiveUsers 參數會搭配 Get-ManagementRoleAssignment 指令程式一起使用。搭配特定角色來指定此參數時,Get-ManagementRoleAssignment 指令程式會檢查所有指派給角色的角色受託人 (例如角色群組、指派原則和 USG),也會列出各群組的成員。

注意事項附註:
GetEffectiveUser 參數不會列出屬於連結的外部角色群組之成員的使用者。如果找到連結的角色群組,則會顯示 [所有連結的群組成員],而非使用者的清單。如需多個樹系中之權限的相關資訊,請參閱瞭解多重樹系的權限

如需管理角色、角色群組及指派原則的相關資訊,請參閱瞭解應用角色的存取控制

如需有關管理角色指派的相關資訊,請參閱了解管理角色指派

要尋找與管理權限相關的其他管理工作嗎?請參閱管理權限

使用命令介面來列出所有有效的使用者

注意事項附註:
您不能使用 EMC 來列出所有有效的使用者。

若要列出被授與管理角色所提供之權限的所有使用者,請使用下列語法。

Get-ManagementRoleAssignment -Role <role name> -GetEffectiveUsers

此範例會列出被授與郵件收件者角色所提供之權限的所有使用者。

Get-ManagementRoleAssignment -Role "Mail Recipients" -GetEffectiveUsers

如果您要變更清單中傳回的屬性,或是將清單匯出至逗號分隔值 (CSV) 檔案,請參閱本主題稍後的Customize output and display it。

如需詳細的語法及參數資訊,請參閱 Get-ManagementRoleAssignment

使用命令介面在某個角色上尋找特定使用者

注意事項附註:
您不能使用 EMC 在某個角色上尋找特定使用者。

若要尋找已透過管理角色被授與權限的特定使用者,您必須使用 Get-ManagementRoleAssignment 指令程式來擷取所有有效使用者的清單,然後將指令程式的輸出傳送給 Where 指令程式。Where 指令程式會篩選輸出,然後只傳回您指定的使用者。使用下列語法。

Get-ManagementRoleAssignment -Role <role name> -GetEffectiveUsers | Where { $_.EffectiveUserName -Eq "<name of user>" }

此範例會在日誌記錄角色上尋找使用者 David Strome。

Get-ManagementRoleAssignment -Role Journaling -GetEffectiveUsers | Where { $_.EffectiveUserName -Eq "David Strome" }

如果您要變更清單中傳回的內容,或是將清單匯出到 CSV 檔,請參閱本主題稍後的Customize output and display it。

如需詳細的語法及參數資訊,請參閱 Get-ManagementRoleAssignment

使用命令介面在所有角色上尋找特定使用者

注意事項附註:
您不能使用 EMC 在所有角色上尋找特定使用者。

若要知道使用者獲得的權限所源自的每個角色,您必須使用 Get-ManagementRoleAssignment 指令程式來擷取所有管理角色上的所有有效使用者,然後將指令程式的輸出傳送給 Where 指令程式。Where 指令程式會篩選輸出,然後只傳回授與權限給使用者的角色指派。

Get-ManagementRoleAssignment -GetEffectiveUsers | Where { $_.EffectiveUserName -Eq "<name of user>" }

此範例會尋找所有授與權限給使用者 Kim Akers 的角色指派。

Get-ManagementRoleAssignment -GetEffectiveUsers | Where { $_.EffectiveUserName -Eq "Kim Akers" }

如果您要變更清單中傳回的內容,或是將清單匯出到 CSV 檔,請參閱本主題稍後的Customize output and display it。

如需詳細的語法及參數資訊,請參閱 Get-ManagementRoleAssignment

使用命令介面來自訂並顯示輸出

注意事項附註:
您不能使用 EMC 來自訂並顯示輸出。

Get-ManagementRoleAssignment 指令程式的預設輸出可能沒有您想要的資訊。指令程式的輸出包含更多您可以存取的其他屬性。以下是一些可能會很有用的屬性:

  • EffectiveUserName   這是使用者的名稱。

  • 角色   這表示授與權限的角色。

  • RoleAssigneeName   這是指派給角色的角色群組、指派原則或 USG,且包含 EffectiveUserName 屬性中的使用者。

  • RoleAssigneeType   這表示角色是指派給角色群組、指派原則、USG 還是使用者。

  • AssignmentMethod   這表示角色與角色受託人之間是直接還是間接指派關係。

  • CustomRecipientWriteScope   這表示當初建立角色指派時,套用至角色指派的自訂收件者寫入範圍 (如果有的話)。此屬性中指定的範圍會覆寫 RecipientWriteScope 屬性中指定的隱含收件者寫入範圍。

  • CustomConfigWriteScope   這表示當初建立角色指派時,套用至角色指派的自訂組態寫入範圍 (如果有的話)。此屬性中指定的範圍會覆寫 ConfigWriteScope 屬性中指定的隱含組態寫入範圍。

  • RecipientReadScope   這表示套用至角色的隱含收件者讀取範圍。

  • RecipientWriteScope   這表示套用至角色的隱含收件者寫入範圍。

  • ConfigReadScope   這表示套用至角色的隱含組態讀取範圍。

  • ConfigWriteScope   這表示套用至角色的隱含組態寫入範圍。

若要選取要在清單中顯示的屬性,您可以使用與Use the Shell to list all effective users、Use the Shell to find a specific user on a role及Use the Shell to find a specific user on all roles各節中幾乎相同的命令。差別在於您是將這些命令的結果傳送至 Format-TableSelect-Object 指令程式。Format-Table 指令程式很適合將結果清單輸出至畫面上。Select-Object 指令程式很適合將結果清單輸出至 CSV 檔案。

這兩個指令程式都可讓您依想要看見屬性的順序,指定想要看見的屬性。當您將結果列出至畫面上時,Format-Table 指令程式可提供更多選項,而 Select-Object 則完全不會修改輸出,這在將清單輸出至 CSV 檔案時很有用。

如需 Format-TableSelect-Object 指令程式的相關資訊,請參閱 使用命令輸出

將自訂的清單輸出至畫面上

首先,選擇您要查看的資訊,並且從下列其中一個程序尋找相關聯的命令:

  • Use the Shell to list all effective users

  • Use the Shell to find a specific user a role

  • Use the Shell to find a specific user on all roles

接著,選擇要在清單中查看的內容。最後,使用下列語法來檢視清單。

<command to retrieve list > | Format-Table <property 1>, <property 2>, <property ...>

此範例會在所有角色中尋找使用者 David Strome,並且顯示 EffectiveUserNameRoleCustomRecipientWriteScopeCustomConfigWriteScope 內容。

Get-ManagementRoleAssignment -GetEffectiveUsers | Where { $_.EffectiveUserName -Eq "David Strome" } | Format-Table EffectiveUserName, Role, CustomRecipientWriteScope, CustomConfigWriteScope

如需詳細的語法及參數資訊,請參閱 Get-ManagementRoleAssignment

將自訂的清單輸出至 CSV 檔案

若要將清單匯出至 CSV 檔案,您必須將先前適當程序中以 Get-ManagementRoleAssignment 命令列出的結果,輸出至 Select-Object 指令程式。接著,將 Select-Object 指令程式的輸出傳送至 Export-CSV 指令程式,後面這個指令程式會將 CSV 輸出儲存至您指定的檔案名稱。

首先,選擇您要查看的資訊,並且從下列其中一個程序尋找相關聯的命令:

  • Use the Shell to list all effective users

  • Use the Shell to find a specific user a role

  • Use the Shell to find a specific user on all roles

接著,選擇要在清單中查看的內容。最後,使用下列語法將清單匯出至 CSV 檔案。

<command to retrieve list > | Select-Object <property 1>, <property 2>, <property ...> | Export-CSV <filename>

此範例會在所有角色中尋找使用者 David Strome,並且顯示 EffectiveUserNameRoleCustomRecipientWriteScopeCustomConfigWriteScope 內容。

Get-ManagementRoleAssignment -GetEffectiveUsers | Where { $_.EffectiveUserName -Eq "David Strome" } | Select-Object EffectiveUserName, Role, CustomRecipientWriteScope, CustomConfigWriteScope | Export-CSV c:\output.csv

您現在可以在自己選擇的檢視器中檢視 CSV 檔案。

如需詳細的語法及參數資訊,請參閱 Get-ManagementRoleAssignment

 © 2010 Microsoft Corporation. 著作權所有,並保留一切權利。