Управление разрешениями для получателей

В Exchange Server вы можете использовать центр администрирования Exchange (EAC) или Exchange Management Shell для назначения разрешений почтовому ящику или группе, чтобы другие пользователи могли получать доступ к почтовому ящику (разрешение полного доступа) или отправлять сообщения электронной почты, которые, как представляется, приходят из почтового ящика или группы (разрешения отправки как или отправки от имени). Пользователи, которые назначены этим разрешениям в других почтовых ящиках или группах, называются делегатами.

Разрешения, которые можно назначить делегатам для почтовых ящиков и групп в Exchange Server, описаны в следующей таблице:

Примечание. Хотя вы можете использовать Exchange Management Shell для назначения некоторых или всех этих разрешений другим типам делегирования на другие типы объектов получателей, в этом разделе основное внимание уделяется типам объектов делегирования и получателей, которые дают полезные результаты.

Разрешение Описание Типы получателей в EAC Дополнительные типы получателей в PowerShell Типы делегирования в EAC Дополнительные типы делегирования в PowerShell
Полный доступ Позволяет представителю открывать почтовый ящик, а также просматривать, добавлять и удалять его содержимое. Не разрешает представителю отправлять сообщения от имени почтового ящика.

Если разрешить полный доступ в почтовый ящик, скрытый из списков адресов, делегат не сможет открыть почтовый ящик. По умолчанию почтовые ящики разрешения конфликтов и найденных сообщений скрыты в списке адресов.

По умолчанию функция автоматического сопоставления почтовых ящиков использует автообнаружиние для автоматического открытия почтового ящика в профиле Outlook делегата (в дополнение к собственному почтовому ящику). Обратите внимание, что автоматическое сопоставление будет работать только для отдельных пользователей, которые получили соответствующие разрешения, и не будет работать для какой-либо группы. Если вы не хотите автоматической картографии почтовых ящиков, необходимо принять одно из следующих действий:

• Используйте командылет Add-MailboxPermission в Exchange управленческой оболочки для назначения разрешения на полный доступ с помощью -AutoMapping $false параметра. Дополнительные сведения см. в разделе Использование Exchange для назначения разрешения на полный доступ к почтовым ящикам в этом разделе.

• Назначьте разрешение на полный доступ группе безопасности с включенной почтой. Почтовый ящик не будет открываться в профиле Outlook каждого участника.
Почтовые ящики пользователей

Связанные почтовые ящики

Почтовые ящики ресурса

Общие почтовые ящики
Почтовые ящики разрешения конфликтов

Почтовые ящики обнаружения
Почтовые ящики с учетными записями пользователей

Почтовые пользователи с учетными записями

Группы безопасности, поддерживающие почту
Учетные записи пользователей, не поддерживающие почту.

Универсальные, глобальные и доменные локальные группы безопасности, не поддерживающие почту.
Отправить как Позволяет представителю отправлять сообщения так, будто они поступают непосредственно от почтового ящика или группы. Нет никаких признаков того, что сообщение было отправлено представителем.

Не разрешает представителю просматривать содержимое почтового ящика.

Если вы назначите разрешение Send As для почтового ящика, скрытого из списков адресов, делегат не сможет отправлять сообщения из почтового ящика.
Почтовые ящики пользователей

Связанные почтовые ящики

Почтовые ящики ресурса

Общие почтовые ящики

группы рассылки;

динамические группы рассылки

группы безопасности с включенной поддержкой почты.
н/д Почтовые ящики с учетными записями пользователей

Почтовые пользователи с учетными записями

группы безопасности с включенной поддержкой почты.
н/д
Отправить от имени Позволяет представителю отправлять сообщения от имени почтового ящика или группы. В адресе этих сообщений четко указывается, что сообщение было отправлено делегатом <Delegate> ("от <MailboxOrGroup> имени"). Тем не менее ответы на эти сообщения отправляются почтовому ящику или группе, а не представителю.

Не разрешает представителю просматривать содержимое почтового ящика.

Если вы назначите разрешение Отправить от имени в почтовый ящик, скрытый из списков адресов, делегат не сможет отправлять сообщения из почтового ящика.
Почтовые ящики пользователей

Связанные почтовые ящики

Почтовые ящики ресурса

группы рассылки;

динамические группы рассылки

группы безопасности с включенной поддержкой почты.
Общие почтовые ящики Почтовые ящики с учетными записями пользователей

Почтовые пользователи с учетными записями

Группы безопасности, поддерживающие почту

группы рассылки;
н/д

Примечание

Если у пользователя есть разрешения Отправка как и отправка от имени в почтовый ящик или группу, всегда используется разрешение Send As.| Почтовые ящики пользователей

Что нужно знать перед началом работы

  • Предполагаемое время для завершения каждой процедуры: 2 минут.

  • Вам необходимо получить разрешения, прежде чем выполнять процедуры в этом разделе. Чтобы узнать, какие разрешения вам нужны, см. в разделе "Разрешения на предоставление получателей".

  • Сведения о том, как открыть командную консоль Exchange в локальной организации Exchange, см. в статье Open the Exchange Management Shell.

  • Для процедур в этом разделе требуются особые разрешения. См. информацию о разрешениях по каждой процедуре.

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.

Совет

Возникли проблемы? Попросите помощи на форумах Exchange. Перейти на форумы можно по следующей ссылке: Exchange Server.

Назначение разрешений отдельным почтовым ящикам с помощью Центра администрирования Exchange

  1. В Центре администрирования Exchange выберите Получатели в области функций. В зависимости от типа почтового ящика, которому требуется назначить разрешения, выберите одну из следующих вкладок:

    • Почтовые ящики: пользовательские или связанные почтовые ящики.

    • Ресурсы: почтовые ящики комнат или оборудования.

    • Общие: Общие почтовые ящики.

  2. В списке почтовых ящиков выберите почтовый ящик, для который необходимо назначить разрешения, а затем нажмите кнопку Изменить значок Изменить  .

  3. На открывшейся странице свойств почтового ящика нажмите Делегирование почтового ящика и настройте одно или несколько из следующих разрешений:

    • Отправка как: Сообщения, отправленные делегатом, как представляется, приходят из почтового ящика.

    • Отправка от имени: Сообщения, отправленные делегатом, имеют "от <Delegate> <Mailbox> имени" в адресе From. Обратите внимание, что это разрешение недоступно в Центре администрирования Exchange для общих почтовых ящиков.

    • Полный доступ. Делегат может открыть почтовый ящик и сделать все, кроме отправки сообщений.

    Чтобы назначить разрешения делегатам, нажмите кнопку Добавить  значок Добавить под соответствующим разрешением. Появляется диалоговое окно, в которое перечислены пользователи или группы, которые могут получить разрешение, назначенное им. Выберите пользователя или группу из списка и нажмите кнопку Добавить. Повторите эти действия необходимое количество раз. Вы также можете искать пользователей или группы в поле поиска, введя все или часть имени, а затем нажав значок поиска  . По завершению выбора делегатов нажмите кнопку ОК.

    Чтобы удалить разрешение делегата, выберите делегата в списке под соответствующим разрешением и нажмите кнопку Удалить  значок Удалить .

  4. Выполнив необходимые действия, нажмите кнопку Сохранить.

Назначение разрешений нескольким почтовым ящикам одновременно с помощью Центра администрирования Exchange

  1. В центре администрирования Exchange перейдите к Получатели > Почтовые ящики.

  2. Выберите почтовые ящики, для которых необходимо назначить разрешения. Вы можете нажать один почтовый ящик, а затем, удерживая клавишу SHIFT, щелкнуть другой, чтобы выбрать диапазон почтовых ящиков. Кроме того, удерживая клавишу CTRL, можно выбрать несколько отдельных почтовых ящиков. При этом заголовок области сведений изменится на Массовое изменение, как показано на представленной ниже схеме.

    Массовые выбор почтовых ящиков в EAC

    Обратите внимание, что необходимо выбирать почтовые ящики одного типа. Например, если выбрать и почтовые ящики пользователей, и связанные почтовые ящики, в области сведений появится предупреждение о том, что массовое изменение невозможно.

  3. В нижней части области сведений нажмите Дополнительные параметры. В параметре Делегирования почтовых ящиков, который отображается, выберите Добавить или Удалить. В зависимости от выбранной команды выполните одно из следующих действий:

    • Добавьте: В диалоговом окне "Массовое добавление делегирования", которое появится, нажмите кнопку Добавить значок Добавить под соответствующим разрешением  (Отправка как, отправка от имени или полный доступ). По завершению выбора пользователей или групп для добавления в качестве делегатов нажмите кнопку Сохранить.

    • Удаление. В диалоговом окне "Удаление делегирования" в диалоговом окне Bulk Remove, которое отображается, нажмите кнопку Добавить значок Добавить под соответствующим разрешением  (Send As, Send on Behalf, or Full Access). По завершению выбора пользователей или групп для удаления из существующих делегатов щелкните Сохранить.

Назначение разрешений группам с помощью Центра администрирования Exchange

  1. В Центре администрирования Exchange последовательно выберите пункты Получатели > Группы.

  2. В списке групп выберите группу, для которую необходимо назначить разрешения, а затем нажмите кнопку Изменить значок Изменить  .

  3. На открывшейся странице свойств группы нажмите Делегирование группы и настройте одно из следующих разрешений:

    • Отправка как: Сообщения, отправленные делегатом, как представляется, приходят из группы.

    • Отправка от имени: Сообщения, отправленные делегатом, имеют "от <Delegate> <Group> имени" в адресе From.

  4. Чтобы назначить разрешения делегатам, нажмите кнопку Добавить  значок Добавить под соответствующим разрешением. Появляется диалоговое окно, в которое перечислены пользователи или группы, которые могут получить разрешение, назначенное им. Выберите пользователя или группу из списка и нажмите кнопку Добавить. Повторите эти действия необходимое количество раз. Вы также можете искать пользователей или группы в поле поиска, введя все или часть имени, а затем нажав значок поиска  . По завершению выбора делегатов нажмите кнопку ОК.

    Чтобы удалить разрешение делегата, выберите делегата в списке под соответствующим разрешением и нажмите кнопку Удалить  значок Удалить .

  5. Выполнив необходимые действия, нажмите кнопку Сохранить.

Используйте оболочку Exchange управления, чтобы назначить разрешение полного доступа почтовым ящикам

Для управления разрешением "Полный доступ" для почтовых ящиков используются командлеты Add-MailboxPermission и Remove-MailboxPermission. В этих командлетах используется одинаковый базовый синтаксис.

Add-MailboxPermission -Identity <MailboxIdentity> -User <DelegateIdentity> -AccessRights FullAccess -InheritanceType All [-AutoMapping $false]

Дополнительные сведения см. в статье Add-MailboxPermission.

Remove-MailboxPermission -Identity <MailboxIdentity> -User <DelegateIdentity> -AccessRights FullAccess -InheritanceType All

Дополнительные сведения см. в статье Remove-MailboxPermission.

В этом примере разрешение полного доступа к почтовому ящику Терри Адамса назначается представителю Рэймонду Сэму.

Add-MailboxPermission -Identity "Terry Adams" -User raymonds -AccessRights FullAccess -InheritanceType All

В этом примере Esther Valle назначает разрешение на полный доступ к почтовому ящику поиска по умолчанию организации и предотвращает автоматическое открытие почтового ящика в Outlook.

Add-MailboxPermission -Identity "DiscoverySearchMailbox{D919BA05-46A6-415f-80AD-7E09334BB852}" -User estherv -AccessRights FullAccess -InheritanceType All -AutoMapping $false

В этом примере членам поддерживающей почту группы безопасности Helpdesk назначается разрешение на полный доступ к общему почтовому ящику под названием Helpdesk Tickets.

Add-MailboxPermission -Identity "Helpdesk Tickets" -User Helpdesk -AccessRights FullAccess -InheritanceType All

В этом примере из почтового ящика пользователя Ayla Kol удаляется разрешение на полный доступ для пользователя Jim Hance.

Remove-MailboxPermission -Identity ayla -User "Jim Hance" -AccessRights FullAccess -InheritanceType All

Как убедиться, что все получилось?

Чтобы убедиться, что вы успешно назначены или удалены разрешения на полный доступ для делегата в почтовом ящике, используйте следующие процедуры:

  • В свойствах почтового ящика в EAC убедитесь, что делегат находится или не указан в делегирования почтовых ящиков > полным доступом.

  • Замените удостоверение почтового ящика и запустите следующую команду в командной Exchange, чтобы убедиться, что делегат указан или <MailboxIdentity> не указан..

    Get-MailboxPermission <MailboxIdentity> | where {$_.AccessRights -like 'Full*'} | Format-Table -Auto User,Deny,IsInherited,AccessRights
    

    Дополнительные сведения см. в статье Get-MailboxPermission.

Используйте оболочку Exchange управления, чтобы назначить разрешение Send As почтовым ящикам и группам

Для управления разрешением Отправка как для почтовых ящиков используются кодлеты Add-AdPermission и Remove-AdPermission. В этих командлетах используется одинаковый базовый синтаксис.

<Add-AdPermission | Remove-AdPermission> -Identity <MailboxOrGroupNameOrDN> -User <DelegateIdentity> [-AccessRights ExtendedRight] -ExtendedRights "Send As"

Дополнительные сведения см. в статьях Add-AdPermission и Remove-AdPermission.

Примечания:

  • В качестве параметра Identity необходимо использовать значение Name или DistinguishedName (DN) почтового ящика или группы.

    • Имя. Это значение может быть или не быть таким же, как имя отображения. Например, Felipe Apodaca.

    • DistinguishedName. Это значение всегда содержит значение Name и использует синтаксис Active Directory LDAP. Например, CN=Felipe Apodaca,CN=Users,DC=contoso,DC=com.

    Чтобы найти эти значения для почтового ящика или группы, можно использовать командлет Get-Recipient, принимающий множество различных значений параметра Identity. Например:

    Get-Recipient -Identity helpdesk@contoso.com | Format-List Name,DistinguishedName
    
  • Команды работают с синтаксис или без него, поэтому они показаны как необязательные. -AccessRights ExtendedRight

В этом примере поддерживающей почту группе безопасности Helpdesk назначается разрешение "Отправить как" для общего почтового ящика Helpdesk Support Team.

Add-ADPermission -Identity "Helpdesk Support Team" -User Helpdesk -ExtendedRights "Send As"

В этом примере показывается удаление разрешения "Отправить как" для пользователя Елены Матвеевой на почтовом ящике Николая Белых.

Remove-ADPermission -Identity "James Alvord" -User pilarp -ExtendedRights "Send As"

Как проверить, что все получилось?

Чтобы убедиться, что вы успешно назначены или удалены разрешения Send As для делегата в почтовом ящике или группе, используйте следующие процедуры:

  • В свойствах почтового ящика или группы в EAC убедитесь, что делегат находится или не указан в делегирования почтовых ящиков > Отправка как или отправка группы > Как.

  • Замените имя или имя почтового ящика или группы и запустите следующую команду в командной Exchange, чтобы убедиться, что делегат указан или <MailboxOrGroupNameOrDN> не указан.

    Get-ADPermission -Identity <MailboxOrGroupNameOrDN> | where {$_.ExtendedRights -like 'Send*'} | Format-Table -Auto User,Deny,ExtendedRights
    

    Дополнительные сведения см. в статье Get-AdPermission.

Используйте оболочку Exchange управления, чтобы назначить разрешение Отправка от имени почтовым ящикам и группам

Параметр GrantSendOnBehalfTo используется в различных почтовых ящиках и группах set-cmdlets для управления разрешением Отправка от имени для почтовых ящиков и групп:

  • Set-Mailbox

  • Set-DistributionGroup: группы рассылки и группы безопасности с поддержкой почты.

  • Настроить DynamicDistributionGroup

Базовый синтаксис этих командлетов:

<Cmdlet> -Identity <MailboxOrGroupIdentity> -GrantSendOnBehalfTo <Delegates>

Параметр GrantSendOnBehalfTo имеет следующие параметры для значений делегирования:

  • Замена существующих делегатов: <DelegateIdentity> или "<DelegateIdentity1>","<DelegateIdentity2>",...

  • Добавление или удаление делегатов, не затрагивая других делегатов:@{Add="\<value1\>","\<value2\>"...; Remove="\<value1\>","\<value2\>"...}

  • Удаление всех делегатов: Используйте значение $null .

В этом примере показывается назначение разрешения "Отправить от имени" для пользователя Александры Вороновой почтовому ящику Глеба Селезнева.

Set-Mailbox -Identity seanc@contoso.com -GrantSendOnBehalfTo hollyh

В этом примере группа tempassistants@contoso.com список делегатов, которые имеют разрешение отправить от имени в общий почтовый ящик Contoso Executives.

Set-Mailbox "Contoso Executives" -GrantSendOnBehalfTo @{Add="tempassistants@contoso.com"}

В этом примере показывается назначение разрешения "Отправить от имени" для пользователя Валентины Александровой группе рассылки поддержки принтеров.

Set-DistributionGroup -Identity printersupport@contoso.com -GrantSendOnBehalfTo sarad

В этом примере удаляется разрешение "Отправить от имени", назначенное администратору динамической группы рассылки All Employees.

Set-DynamicDistributionGroup "All Employees" -GrantSendOnBehalfTo @{Remove="Administrator"}

Как проверить, что все получилось?

Чтобы убедиться, что вы успешно назначены или удалены разрешения Отправка от имени делегата в почтовом ящике или группе, используйте следующие процедуры:

  • В свойствах почтового ящика или группы в EAC убедитесь, что делегат находится или не указан в делегирования почтовых ящиков > Отправка как или отправка группы > Как.

  • Замените или замените удостоверение почтового ящика или группы и запустите одну из следующих команд в командной Exchange, чтобы убедиться, что делегат указан или <MailboxIdentity> <GroupIdentity> не указан.

    • Почтовый ящик:

      Get-Mailbox -Identity <MailboxIdentity> | Format-List GrantSendOnBehalfTo
      
    • Группа:

      Get-DistributionGroup -Identity <GroupIdentity> | Format-List GrantSendOnBehalfTo
      
    • Динамическая группа рассылки:

      Get-DynamicDistributionGroup -Identity <GroupIdentity> | Format-List GrantSendOnBehalfTo
      

Дальнейшие действия

Дополнительные сведения о том, как представители могут использовать назначенные им разрешения для почтовых ящиков и групп, см. в следующих статьях: