管理收件人的权限

  • 项目

在 Exchange Server,可以使用 Exchange 管理中心 (EAC) 或 Exchange 命令行管理程序向邮箱或组分配权限,以便其他用户能够 (“完全访问权限”) 访问邮箱,或者发送看似来自邮箱或组的电子邮件, (“代理发送”或“代表发送”权限) 。 在其他邮箱或组中分配有这些权限的用户被称为代理

下表描述了可分配给Exchange Server中邮箱和组的委托的权限:

注意:尽管可以使用 Exchange 命令行管理程序向其他类型的收件人对象的其他委托类型分配部分或全部权限,但本主题重点介绍产生有用结果的委托和收件人对象类型。

权限 说明 EAC 中的收件人类型 PowerShell 中的其他收件人类型 EAC 中的委托类型 PowerShell 中的其他委托类型
完全访问权限 允许代理打开邮箱以及查看、添加和删除邮箱的内容。 不允许代理从邮箱中发送邮件。

如果将完全访问权限分配给地址列表中隐藏的邮箱,则代理将无法打开该邮箱。 默认情况下,仲裁和发现邮箱在地址列表中隐藏。

默认情况下,邮箱自动映射功能使用自动发现功能自动打开代理的 Outlook 配置文件中的邮箱(除了他们自己的邮箱)。 请注意,自动映射仅适用于已授予适当权限的单个用户,不适用于任何类型的组。 如果不希望邮箱自动映射,则需要执行以下操作之一:

  • 使用 Exchange 命令行管理程序中的 Add-MailboxPermission cmdlet 通过 设置分配完全访问权限权限 -AutoMapping $false 。 有关详细信息,请参阅此主题中的 使用 Exchange 命令行管理程序 来向邮箱分配完全访问权限部分。
  • 将完全访问权限分配给(已启用邮件的)安全组。 邮箱将不会在每个成员的 Outlook 配置文件中打开。
 用户邮箱

链接的邮箱

资源邮箱

共享邮箱

 仲裁邮箱

发现邮箱

 具有用户帐户的邮箱

具有帐户的邮件用户

启用邮件的安全组

 未启用邮件的用户帐户。

未启用邮件的通用、全局和域本地安全组。
代理发送 允许代理发送邮箱,好像这些邮件直接来自该邮箱或组。 没有迹象表明邮件是由代理发送的。

不允许代理阅读邮箱的内容。

如果向地址列表中隐藏的邮箱分配“发送方式”权限,则代理将无法从邮箱发送邮件。

 用户邮箱

链接的邮箱

资源邮箱

共享邮箱

通讯组

动态通讯组

启用邮件功能的安全组

 具有用户帐户的邮箱

具有帐户的邮件用户

启用邮件的安全组
代表发送 允许代理从邮箱或组中发送邮件。 这些邮件的发件人地址清楚地表明,该邮件是由代理 (“<代表 MailboxOrGroup 的代理人>”) 发送的<。> 但是,对这些邮件的答复发送到邮箱或组,而不发送给代理。

不允许代理阅读邮箱的内容。

如果向地址列表中隐藏的邮箱分配“代表发送”权限,则代理将无法从邮箱发送邮件。

 用户邮箱

链接的邮箱

资源邮箱

通讯组

动态通讯组

启用邮件功能的安全组

 共享邮箱 具有用户帐户的邮箱

具有帐户的邮件用户

启用邮件功能的安全组

通讯组

 不适用

注意

如果用户同时具有邮箱或组的“发送方式”和“代表发送”权限,则始终使用“代理发送”权限。|用户邮箱

开始前,有必要了解什么?

  • 估计完成每个步骤时间:2 分钟。

  • 需要分配权限,然后才能执行本主题中的过程。 若要查看所需的权限,请参阅收件人权限主题中的“ 收件人预配权限 ”条目。

  • 若要了解如何在本地 Exchange 组织中打开 Exchange 命令行管理程序,请参阅 Open the Exchange Management Shell

  • 本主题中的过程需要特定权限。 请参阅每个过程,以了解其权限信息。

  • 若要了解本主题中的过程可能适用的键盘快捷键,请参阅 Exchange 管理中心内的键盘快捷键

提示

是否有任何疑问? 在 Exchange 论坛中寻求帮助。 请访问以下论坛:Exchange Server

使用 EAC 将权限分配给个别邮箱

  1. 在 EAC 中,单击功能窗格中的“收件人”。 根据要为其分配权限的邮箱类型,单击下列选项卡之一:

    • 邮箱:用户或链接邮箱。

    • 资源:会议室或设备邮箱。

    • 共享:共享邮箱。

  2. 在邮箱列表中,选择要为其分配权限的邮箱,然后单击“ 编辑”图标

  3. 在打开的邮箱属性页中,单击" 邮箱委派"并配置以下一个或多个权限:

    • 发送方式:代理发送的邮件似乎来自邮箱。

    • 代表发送:代理发送的邮件在发件人地址中有“代表邮箱>的<代理人>”。< 请注意,该权限在共享邮箱的 EAC 中不可用。

    • 完全访问权限:代理可以打开邮箱并执行除发送邮件以外的任何操作。

    若要向委托分配权限,请单击相应权限下的“添加”图标。 此时会显示一个对话框,其中列出已将权限分配给他们的用户或组。 从列表中选择用户或组,然后单击" 确定"。 根据需要多次重复此过程。 还可以通过键入全部或部分名称,然后单击“搜索搜索”图标,在搜索框中搜索用户或组。 选择完委托后,单击“ 确定”。

    若要从委托中删除权限,请在相应权限下的列表中选择委托,然后单击“ 删除”图标

  4. 完成后,单击“保存”。

使用 EAC 同时向多个邮箱分配权限

  1. 在 EAC 中,导航到收件人>邮箱

  2. 选择要为其分配权限的邮箱。 使用"单击 + Shift 键 + 单击"可选择某个范围的邮箱,或使用"Ctrl 键 + 单击"来选择多个单独的邮箱。 "详细信息"窗格的标题将更改为如以下图中所示的" 批量编辑"。

    在 EAC 中批量选择邮箱。

    请注意,选择的邮箱必须为相同类型。 例如,如果你同时选择用户邮箱和链接的邮箱,则"详细信息"窗格中将显示一条警告,指示批量编辑不起作用。

  3. 在"详细信息"窗格底部,单击" 更多选项"。 在出现的" 邮箱委派"选项下方,选择" 添加"或" 删除"。 根据你的选择,执行下列操作之一:

    • 添加:在出现的“ 批量添加委派 ”对话框中,单击“ 添加”图标。 在相应的权限下 (“发送方式”、“ 代表发送”或“ 完全访问) ”。 选择要添加为代理人的用户或组后,单击“ 保存”。

    • 删除:在显示的“ 批量删除委派 ”对话框中,单击“ 添加”图标。 在相应的权限下, (“发送方式”、“ 代表发送”或“ 完全访问) ”。 选择要从现有委托中删除的用户或组后,单击“ 保存”。

使用 EAC 向组分配权限

  1. 在 EAC 中,导航到“收件人”>“组”

  2. 在组列表中,选择要为其分配权限的组,然后单击“编辑”图标。

  3. 在打开的组属性页中,单击" 组委派"并配置以下一个权限:

    • 发送方式:代理发送的消息似乎来自组。

    • 代表发送:代理发送的消息在发件人地址中有“代表组>的<委托>”。<

  4. 若要向委托分配权限,请单击相应权限下的“添加”图标。 此时会显示一个对话框,其中列出已将权限分配给他们的用户或组。 从列表中选择用户或组,然后单击" 确定"。 根据需要多次重复此过程。 还可以通过键入全部或部分名称,然后单击“搜索搜索”图标,在搜索框中搜索用户或组。 选择完委托后,单击“ 确定”。

    若要从委托中删除权限,请在相应权限下的列表中选择委托,然后单击“ 删除”图标

  5. 完成后,单击“保存”。

使用 Exchange 命令行管理程序 来向邮箱分配完全访问权限

使用 Add-MailboxPermissionRemove-MailboxPermission cmdlet 来管理邮箱的完全访问权限。 这些 cmdlet 使用相同的基本语法:

Add-MailboxPermission -Identity <MailboxIdentity> -User <DelegateIdentity> -AccessRights FullAccess -InheritanceType All [-AutoMapping $false]

有关详细信息,请参阅 Add-MailboxPermission

Remove-MailboxPermission -Identity <MailboxIdentity> -User <DelegateIdentity> -AccessRights FullAccess -InheritanceType All

有关详细信息,请参阅 Remove-MailboxPermission

此示例为 Raymond Sam 分配 Terry Adams 的邮箱的完全访问权限。

Add-MailboxPermission -Identity "Terry Adams" -User raymonds -AccessRights FullAccess -InheritanceType All

此示例为 Esther Valle 分配组织的默认发现搜索邮箱的完全访问权限,并阻止邮箱自动在 Esther Valle 的 Outlook 中打开。

Add-MailboxPermission -Identity "DiscoverySearchMailbox{D919BA05-46A6-415f-80AD-7E09334BB852}" -User estherv -AccessRights FullAccess -InheritanceType All -AutoMapping $false

此示例为支持人员启用邮件的安全组的成员分配共享邮箱 Helpdesk Tickets 的完全访问权限。

Add-MailboxPermission -Identity "Helpdesk Tickets" -User Helpdesk -AccessRights FullAccess -InheritanceType All

此示例删除 Jim Hance 对 Ayla Kol 的邮箱的完全访问权限。

Remove-MailboxPermission -Identity ayla -User "Jim Hance" -AccessRights FullAccess -InheritanceType All

如何知道操作成功?

若要验证是否已成功分配或删除邮箱代理的完全访问权限,请使用以下过程之一:

  • 在 EAC 邮箱的属性中,验证代理是否在 邮箱委派>完全访问中列出。

  • MailboxIdentity> 替换为<邮箱的标识,并在 Exchange 命令行管理程序中运行以下命令,验证代理是否列出。

    Get-MailboxPermission <MailboxIdentity> | where {$_.AccessRights -like 'Full*'} | Format-Table -Auto User,Deny,IsInherited,AccessRights

    有关详细信息,请参阅 Get-MailboxPermission

使用 Exchange 命令行管理程序 来向邮箱和组分配代理发送权限

使用 Add-AdPermissionRemove-AdPermission cmdlet 来管理邮箱的“发送为”权限。 这些 cmdlet 使用相同的基本语法:

<Add-AdPermission | Remove-AdPermission> -Identity <MailboxOrGroupNameOrDN> -User <DelegateIdentity> [-AccessRights ExtendedRight] -ExtendedRights "Send As"

有关详细信息,请参阅 Add-AdPermissionRemove-AdPermission

注意

  • Identity 参数要求使用邮箱或组的 NameDistinguishedName (DN) 值。

    • 名称:此值可能与显示名称相同,也可能不相同。 例如,Felipe Apodaca
    • DistinguishedName:此值始终包含 Name 值并使用 Active Directory LDAP 语法。 例如,CN=Felipe Apodaca,CN=Users,DC=contoso,DC=com

    若要查找邮箱或组的这些值,可以使用 Get-Recipient cmdlet,该 cmdlet 接受 Identity 参数的许多不同的值。 例如:

    Get-Recipient -Identity helpdesk@contoso.com | Format-List Name,DistinguishedName

  • 命令使用或不 -AccessRights ExtendedRight使用 ,这就是为什么它在语法中显示为可选的原因。

此示例将"代理发送"权限分配给共享邮箱 Helpdesk Support Team 中的支持人员启用邮件的安全组。

Add-ADPermission -Identity "Helpdesk Support Team" -User Helpdesk -ExtendedRights "Send As"

此示例删除用户 Pilar Pinilla 在 James Alvord 邮箱中的“代理发送”权限。

Remove-ADPermission -Identity "James Alvord" -User pilarp -ExtendedRights "Send As"

如何知道操作成功?

若要验证是否已成功分配或删除邮箱或组上的代理的“发送方式”权限,请使用以下任一过程:

  • 在 EAC 中邮箱或组的属性中,验证代理是否在 邮箱委派>“发送方式”“组委派>发送方式”中列出。

  • MailboxOrGroupNameOrDN> 替换为<邮箱或组的名称或可分辨名称,并在 Exchange 命令行管理程序中运行以下命令,验证代理是否列出。

    Get-ADPermission -Identity <MailboxOrGroupNameOrDN> | where {$_.ExtendedRights -like 'Send*'} | Format-Table -Auto User,Deny,ExtendedRights

    有关详细信息,请参阅 Get-AdPermission

使用 Exchange 命令行管理程序 来向邮箱和组分配代表发送权限

对各种邮箱和组 Set- cmdlet 使用 GrantSendOnBehalfTo 参数来管理邮箱和组的“代表发送”权限:

  • Set-Mailbox

  • Set-DistributionGroup:通讯组和已启用邮件的安全组。

  • Set-DynamicDistributionGroup

这些 cmdlet 的基本语法是:

<Cmdlet> -Identity <MailboxOrGroupIdentity> -GrantSendOnBehalfTo <Delegates>

GrantSendOnBehalfTo 参数具有以下委托值选项:

  • 替换现有委托<DelegateIdentity>"<DelegateIdentity1>","<DelegateIdentity2>",...

  • 在不影响其他委托的情况下添加或删除委托@{Add="\<value1\>","\<value2\>"...; Remove="\<value1\>","\<value2\>"...}

  • 删除所有委托:使用值 $null

此示例为代理 Holly Holt 分配 Sean Chai 邮箱的"代表发送"权限。

Set-Mailbox -Identity seanc@contoso.com -GrantSendOnBehalfTo hollyh

本示例将组 tempassistants@contoso.com 添加到对 Contoso Executives 共享邮箱具有“代表发送”权限的代理人列表中。

Set-Mailbox "Contoso Executives" -GrantSendOnBehalfTo @{Add="tempassistants@contoso.com"}

此示例为代理 Sara Davis 分配 Printer Support 通讯组的"代表发送"权限。

Set-DistributionGroup -Identity printersupport@contoso.com -GrantSendOnBehalfTo sarad

此示例删除 All Employees 动态通讯组中分配给管理员的“代表发送”权限。

Set-DynamicDistributionGroup "All Employees" -GrantSendOnBehalfTo @{Remove="Administrator"}

如何知道操作成功?

若要验证是否已成功分配或删除邮箱或组上的代理的“代表发送”权限,请使用以下任一过程:

  • 在 EAC 中邮箱或组的属性中,验证代理是否在 邮箱委派>“发送方式”“组委派>发送方式”中列出。

  • MailboxIdentity> 或 GroupIdentity 替换为<邮箱或组的标识,并在 Exchange 命令行管理程序中运行以下命令之一来验证代理是否已列出。><

    • 邮箱:

      Get-Mailbox -Identity <MailboxIdentity> | Format-List GrantSendOnBehalfTo

    • 组:

      Get-DistributionGroup -Identity <GroupIdentity> | Format-List GrantSendOnBehalfTo

    • 动态通讯组:

      Get-DynamicDistributionGroup -Identity <GroupIdentity> | Format-List GrantSendOnBehalfTo

后续步骤

有关代理如何使用已分配给他们的邮箱和组权限的详细信息,请参阅下列主题: