Просмотр действующих разрешенийView effective permissions

Применимо к: Exchange Server 2013Applies to: Exchange Server 2013

Разрешения в Microsoft Exchange Server 2013 предоставляются с помощью ролей управления, которые назначаются группам ролей управления, политикам назначения ролей управления, универсальным группам безопасности или напрямую пользователям. Пользователи получают разрешения, если являются членами групп ролей или универсальных групп безопасности, а также если для них назначены политики назначения ролей.Permissions in Microsoft Exchange Server 2013 are granted using management roles that are assigned to management role groups, management role assignment policies, universal security groups (USGs), or directly to users. Users are granted the permissions if they're members of the role groups or USGs, or are assigned role assignment policies.

Большинство разрешений полномочия на основе членства в группе ролей или назначения политик назначения для конечных пользователей. Несмотря на то, что с помощью групп ролей и политики назначения позволяет легко предоставлять разрешения для большого числа пользователей, которые может не иметь в виду, является участником группы ролей или которому была назначена политика назначения. Это, где параметр GetEffectiveUsers в командлете Get-ManagementRoleAssignment используется. Он показывает, какие пользователи предоставляются разрешения, заданную с помощью ролью управления через группы ролей, политики назначения и универсальным группам безопасности, которые были им назначены.Most permissions are granted based on role group membership or the assignment of assignment policies to end users. Although using role groups and assignment policies makes it easy to grant permissions to large numbers of users, you may not be aware of who is a member of a role group, or who has been assigned an assignment policy. This is where the GetEffectiveUsers switch on the Get-ManagementRoleAssignment cmdlet is useful. It shows you what users are granted the permissions given by a management role through the role groups, assignment policies, and USGs that are assigned to them.

Параметр GetEffectiveUsers используется с помощью командлета Get-ManagementRoleAssignment , при использовании параметра Role . Указав этот переключатель с определенной роли, командлет Get-ManagementRoleAssignment проверяет все assignees роли, назначенные этой роли, такие как группы ролей, политики назначения и универсальным группам безопасности и список членов каждого из них.The GetEffectiveUsers switch is used with the Get-ManagementRoleAssignment cmdlet when the Role parameter is used. By specifying this switch with a particular role, the Get-ManagementRoleAssignment cmdlet examines all the role assignees assigned to the role, such as role groups, assignment policies, and USGs, and lists the members of each.

Примечание

Переключатель GetEffectiveUser не список пользователей, которые являются участниками группы связанных внешних ролей. Вместо список пользователей при обнаружении связанной группой ролей, отображается Всех связанных членов группы . Дополнительные сведения о разрешениях в нескольких лесах можно несколькими лесами Общие сведения о разрешениях.The GetEffectiveUser switch doesn't list users that are members of a linked foreign role group. Instead of a list of users, if a linked role group is found, All Linked Group Members is displayed. For more information about permissions in multiple forests, see Understanding multiple-forest permissions.

Дополнительные сведения о ролях управления, группах ролей и политиках назначения см. в разделе Общие сведения об управлении доступом на основе ролей. Дополнительные сведения о назначениях ролей управления см. в разделе Общие сведения о назначениях ролей управления.For more information about management roles, role groups, and assignment policies, see Understanding Role Based Access Control. For more information about management role assignments, see Understanding management role assignments.

Необходимы сведения о других задачах управления, связанных с управлением разрешениями? См. раздел Разрешения.Looking for other management tasks related to managing permissions? Check out Permissions.

Что нужно знать перед началом работыWhat do you need to know before you begin?

  • Предполагаемое время для завершения каждой процедуры: 5 минутEstimated time to complete each procedure: 5 minutes

  • Вы должны быть назначены разрешения, перед выполнением этой процедуры или процедуры. Чтобы увидеть, какие нужны разрешения, просмотрите "группы ролей» или «Политика назначения ролей» записей в разделе Role management permissions .You need to be assigned permissions before you can perform this procedure or procedures. To see what permissions you need, see the "Role groups" or "Role assignment policy” entries in the Role management permissions topic.

  • Процедуры, описанные в этом разделе, можно выполнить только в командной консоли Exchange. Невозможно использовать центр администрирования Exchange для просмотра эффективных разрешений.The procedures in this topic can only be performed in the Shell. You can’t use the Exchange Administration Center (EAC) to view effective permissions.

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts in the Exchange admin center.

Совет

Возникли проблемы? Обращение за помощью в форумах Exchange. Посетите форумы Exchange Server, Exchange Onlineили Exchange Online Protection.Having problems? Ask for help in the Exchange forums. Visit the forums at Exchange Server, Exchange Online, or Exchange Online Protection.

Использование командной консоли для получения списка всех действующих пользователейUse the Shell to list all effective users

Чтобы отобразить список всех пользователей, которым ролью управления предоставлены разрешения, используйте следующий синтаксис.To list all the users that are granted the permissions provided by a management role, use the following syntax.

Get-ManagementRoleAssignment -Role <role name> -GetEffectiveUsers

В этом примере отображается список пользователей, которые имеют разрешения, предоставленные ролью «Mail Recipients».This example lists all the users that are granted permissions provided by the Mail Recipients role.

Get-ManagementRoleAssignment -Role "Mail Recipients" -GetEffectiveUsers

Если нужно изменить свойства, которые возвращаются в списке, или экспортировать список в файл данных с разделителями-запятыми (CSV), см. подраздел Использование командной консоли для настройки и отображения выходных данных далее в этом разделе.If you want to change what properties are returned in the list or export the list to a comma-separated value (.csv) file, see Use the Shell to customize output and display it later in this topic.

Подробные сведения о синтаксисе и параметрах см. в разделе Get-ManagementRoleAssignment.For detailed syntax and parameter information, see Get-ManagementRoleAssignment.

Использование командой консоли для поиска определенного пользователя в определенной ролиUse the Shell to find a specific user on a role

Чтобы найти определенного пользователя, которому были предоставлены разрешения определенной роли управления, необходимо использовать командлет Get-ManagementRoleAssignment, который позволяет получить список всех эффективных пользователей, а затем передать выходные данные этого командлета в командлет Where. Командлет Where отфильтровывает выходные данные и возвращает только указанного пользователя. Используйте следующий синтаксис.To find a specific user that's been granted permissions by a management role, you must use the Get-ManagementRoleAssignment cmdlet to retrieve a list of all effective users, and then pipe the output of the cmdlet to the Where cmdlet. The Where cmdlet filters the output and returns only the user you specified. Use the following syntax.

    Get-ManagementRoleAssignment -Role <role name> -GetEffectiveUsers | Where { $_.EffectiveUserName -Eq "<name of user>" }

В этом примере выполняется поиск пользователя David Strome в роли Journaling.This example finds the user David Strome on the Journaling role.

    Get-ManagementRoleAssignment -Role Journaling -GetEffectiveUsers | Where { $_.EffectiveUserName -Eq "David Strome" }

Сведения об изменении возвращаемых свойств в списке или экспорте списка в файл в формате CSV см. в подразделе Использование командной консоли для настройки и отображения выходных данных далее в этом разделе.If you want to change what properties are returned in the list or export the list to a .csv file, see Use the Shell to customize output and display it later in this topic.

Дополнительные сведения о синтаксисе и параметрах см. в разделе Get-ManagementRoleAssignment.For detailed syntax and parameter information, see Get-ManagementRoleAssignment.

Использование командой консоли для нахождения определенного пользователя во всех роляхUse the Shell to find a specific user on all roles

Чтобы узнать о всех ролях, разрешения которых были предоставлены пользователю, следует использовать командлет Get-ManagementRoleAssignment, позволяющий получить всех действующих пользователей во всех ролях, а затем передать выходные данные в командлет Where. Командлет Where фильтрует выходные данные и возвращает только те назначения ролей, в соответствии с которыми этому пользователю были предоставлены разрешения.To know every role that a user receives permissions from, you must use the Get-ManagementRoleAssignment cmdlet to retrieve all effective users on all management roles and then pipe the output of the cmdlet to the Where cmdlet. The Where cmdlet filters the output and returns only the role assignments that grant the user permissions.

    Get-ManagementRoleAssignment -GetEffectiveUsers | Where { $_.EffectiveUserName -Eq "<name of user>" }

В этом примере выполняется поиск всех назначений ролей, в соответствии с которыми были предоставлены разрешения пользователю Kim Akers.This example finds all the role assignments that grant permissions to the user Kim Akers.

Get-ManagementRoleAssignment -GetEffectiveUsers | Where {     Get-ManagementRoleAssignment -GetEffectiveUsers | Where { $_.EffectiveUserName -Eq "Kim Akers" }.EffectiveUserName -Eq "Kim Akers" }

Сведения об изменении списка возвращаемых свойств или экспорте списка в файл в формате CSV см. в подразделе Использование командной консоли для настройки и отображения выходных данных далее в этом разделе.If you want to change what properties are returned in the list or export the list to a CSV file, see Use the Shell to customize output and display it later in this topic.

Дополнительные сведения о синтаксисе и параметрах см. в разделе Get-ManagementRoleAssignment.For detailed syntax and parameter information, see Get-ManagementRoleAssignment.

Использование командной консоли для настройки и отображения выходных данныхUse the Shell to customize output and display it

В выходных данных командлета Get-ManagementRoleAssignment по умолчанию могут не содержаться нужные сведения. Выходные данные командлета содержат различные свойства, которые можно просмотреть. Ниже перечислены некоторые свойства, которые могут оказаться полезными.The default output of the Get-ManagementRoleAssignment cmdlet might not have the information you want. The output of the cmdlet contains many more properties that you can access. The following are some of the properties that could be useful:

  • EffectiveUserName Имя пользователя.EffectiveUserName Name of the user.

  • Роль Роль, предоставление разрешений.Role Role that's granting the permissions.

  • RoleAssigneeName Группы ролей, политики назначения или универсальной группы безопасности, которая назначена роль и содержит пользователя в EffectiveUserName свойство.RoleAssigneeName Role group, assignment policy, or USG that's assigned to the role and contains the user in the EffectiveUserName property.

  • RoleAssigneeType Указывает, является ли назначения ролей для группы ролей, политики назначения, универсальной группы безопасности или пользователя.RoleAssigneeType Indicates whether the role assignment is to a role group, assignment policy, USG, or user.

  • AssignmentMethod Указывает, является ли назначения между ролями и получателю роли прямых или косвенных.AssignmentMethod Indicates whether the assignment between the role and the role assignee is direct or indirect.

  • CustomRecipientWriteScope Указывает область настраиваемого записи получателей, если они существуют, которая была применена к назначению ролей при его создании. Области, указанной в этом свойстве переопределяет область неявные записи получателей, указанных в RecipientWriteScope свойство.CustomRecipientWriteScope Indicates the custom recipient write scope, if any, that was applied to the role assignment when it was created. The scope specified in this property overrides the implicit recipient write scope specified in the RecipientWriteScope property.

  • CustomConfigWriteScope Указывает область записи конфигурации, если они существуют, которая была применена к назначению ролей при его создании. Области, указанной в этом свойстве переопределяет область записи конфигурации неявных, указанного в ConfigWriteScope свойство.CustomConfigWriteScope Indicates the custom configuration write scope, if any, that was applied to the role assignment when it was created. The scope specified in this property overrides the implicit configuration write scope specified in the ConfigWriteScope property.

  • RecipientReadScope Указывает, что область, которая применяется к роли чтения неявных получателя.RecipientReadScope Indicates the implicit recipient read scope that's applied to the role.

  • RecipientWriteScope Указывает область неявные записи получателей, которая применяется к роли.RecipientWriteScope Indicates the implicit recipient write scope that's applied to the role.

  • ConfigReadScope Указывает, что область, которая применяется к роли чтения неявных конфигурации.ConfigReadScope Indicates the implicit configuration read scope that's applied to the role.

  • ConfigWriteScope Указывает область записи неявных конфигурации, которая применяется к роли.ConfigWriteScope Indicates the implicit configuration write scope that's applied to the role.

Для выберите свойства, которые необходимо отобразить в списке, используется команды следующего, используемые в разделе Использование командной консоли Exchange для списка всех действующих пользователей, с помощью командной консоли найдите отдельного пользователя на роль и использование командной консоли Exchange для поиска конкретных пользователей на всех разделах роли. Отличие заключается в том, что вы конвейеру эти команды для командлетов Format-Table или Select-Object . Командлет Format-Table полезен для вывода списка результатов на экран. Командлет Select-Object полезен для вывода списка результатов в CSV-файл.To select the properties you want to display in your list, you use commands similar to those used in the Use the Shell to list all effective users, Use the Shell to find a specific user on a role, and Use the Shell to find a specific user on all roles sections. The difference is that you pipe the results of those commands to the Format-Table or Select-Object cmdlets. The Format-Table cmdlet is useful to output the list of results to your screen. The Select-Object cmdlet is useful to output the list of your results to a .csv file.

Оба командлета позволяют определить свойства, которые будут отображаться в нужном порядке. Командлет Format-Table предоставляет больше возможностей при выводе результатов на экран, а командлет Select-Object не изменяет выходные данные, что хорошо подходит для передачи списка в CSV-файл.Both cmdlets let you specify the properties you want to see and in the order you want to see them. The Format-Table cmdlet gives you more options when you list results to a screen while Select-Object doesn't modify the output in any way, which is useful when piping the list to a .csv file.

Дополнительные сведения о командлетах Format-Table и Select-Object см. в разделе Работа с выходными данными команды.For more information about the Format-Table and Select-Object cmdlets, see Working with command output.

Вывод на экран пользовательского спискаOutput a customized list to your screen

  1. Выберите отображаемые сведения и найдите связанную команду в одной из следующих процедур.Choose the information you want to see and find the associated command from one of the following procedures:

    • Использование командной консоли для получения списка всех действующих пользователейUse the Shell to list all effective users

    • Use the Shell to find a specific user a roleUse the Shell to find a specific user a role

    • Использование командой консоли для нахождения определенного пользователя во всех роляхUse the Shell to find a specific user on all roles

  2. Выберите свойства, которые необходимо включить в список.Choose the properties you want to see in your list.

  3. Используйте следующий синтаксис для просмотра списка.Use the following syntax to view the list.

        <command to retrieve list > | Format-Table <property 1>, <property 2>, <property ...>
    

В этом примере выполняется поиск пользователя David Strome для всех ролей и отображает EffectiveUserName, Role, CustomRecipientWriteScope, и CustomConfigWriteScope свойства.This example finds the user David Strome on all roles, and displays the EffectiveUserName, Role, CustomRecipientWriteScope, and CustomConfigWriteScope properties.

    Get-ManagementRoleAssignment -GetEffectiveUsers | Where { $_.EffectiveUserName -Eq "David Strome" } | Format-Table EffectiveUserName, Role, CustomRecipientWriteScope, CustomConfigWriteScope

Дополнительные сведения о синтаксисе и параметрах см. в разделе Get-ManagementRoleAssignment.For detailed syntax and parameter information, see Get-ManagementRoleAssignment.

Вывод пользовательского списка в CSV-файлOutput a customized list to a .csv file

Чтобы экспортировать список в CSV-файл, необходимо передать результаты выполнения команды Get-ManagementRoleAssignment из соответствующей процедуры, приведенной выше, в командлет Select-Object. Затем выходные данные командлета Select-Object передаются в командлет Export-CSV, который сохраняет выходные данные с разделителями-запятыми в указанный файл.To export a list to a .csv file, you need to pipe the results of the Get-ManagementRoleAssignment command from the appropriate procedure listed previously to the Select-Object cmdlet. The output of the Select-Object cmdlet is then piped to the Export-CSV cmdlet, which saves the .csv output to a file name you specify.

  1. Выберите отображаемые сведения и найдите связанную команду в одной из следующих процедур.Choose the information you want to see and find the associated command from one of the following procedures:

    • Использование командной консоли для получения списка всех действующих пользователейUse the Shell to list all effective users

    • Use the Shell to find a specific user a roleUse the Shell to find a specific user a role

    • Использование командой консоли для нахождения определенного пользователя во всех роляхUse the Shell to find a specific user on all roles

  2. Выберите свойства, которые необходимо включить в список.Choose the properties you want to see in your list.

  3. Используйте следующий синтаксис для экспорта списка в CSV-файл.Use the following syntax to export the list to a .csv file.

        <command to retrieve list > | Select-Object <property 1>, <property 2>, <property ...> | Export-CSV <filename>
    

В этом примере выполняется поиск пользователя David Strome для всех ролей и отображает EffectiveUserName, Role, CustomRecipientWriteScope, и CustomConfigWriteScope свойства.This example finds the user David Strome on all roles, and displays the EffectiveUserName, Role, CustomRecipientWriteScope, and CustomConfigWriteScope properties.

    Get-ManagementRoleAssignment -GetEffectiveUsers | Where { $_.EffectiveUserName -Eq "David Strome" } | Select-Object EffectiveUserName, Role, CustomRecipientWriteScope, CustomConfigWriteScope | Export-CSV c:\output.csv

Теперь можно просмотреть CSV-файл в соответствующем приложении.You can now view the .csv file in a viewer of your choice.

Дополнительные сведения о синтаксисе и параметрах см. в разделе Get-ManagementRoleAssignment.For detailed syntax and parameter information, see Get-ManagementRoleAssignment.