配置模拟
了解如何使用 Exchange 命令行管理程序向服务帐户授予模拟角色。
模拟使调用方 (如服务应用程序) 能够模拟用户帐户。 该调用方可以通过使用与模拟帐户相关联的权限来执行操作,而不是与调用方帐户相关联的权限。
Exchange Online、作为 Office 365 一部分的 Exchange Online 和从 Exchange 2013 开始的 Exchange 版本使用基于角色的访问控制 (RBAC) 向帐户分配权限。 Exchange 服务器管理员将需要使用 New-ManagementRoleAssignment cmdlet 授予将模拟其他用户 ApplicationImpersonation 角色的任何服务帐户。
配置 ApplicationImpersonation 角色
当你或 Exchanger 服务器管理员分配 ApplicationImpersonation 角色时,请使用 New-ManagementRoleAssignment cmdlet 的以下参数:
- 名称 – 角色分配的友好名称。 每次分配角色时,都会在 RBAC 角色列表中创建一个项。 可以使用 Get-ManagementRoleAssignment cmdlet 验证角色分配。
- 角色 – 要分配的 RBAC 角色。 设置模拟时,分配 ApplicationImpersonation 角色。
- 用户 – 服务帐户。
- CustomRecipientScope – 服务帐户可以模拟的用户范围。 仅允许服务帐户模拟指定范围内的其他用户。 如果未指定作用域,则向服务帐户授予对组织中所有用户 ApplicationImpersonation 角色。 可以通过使用 New-ManagementScope cmdlet 创建自定义管理范围。
在配置模拟之前,需要:
- Exchange 服务器的管理凭据。
- 具有创建和分配角色和作用域权限的域管理员凭据或其他凭据。
- Exchange 管理工具。 这些都安装在你要运行命令的计算机上。
为组织中的所有用户配置模拟
打开 Exchange 命令行管理程序。 在“开始”菜单中,选择 >Microsoft Exchange Server 2013 的 所有程序。
运行 New-ManagementRoleAssignment cmdlet 将模拟权限添加到指定用户。 下面的示例演示如何配置模拟以使服务帐户能够模拟组织中的所有其他用户。
New-ManagementRoleAssignment -name:impersonationAssignmentName -Role:ApplicationImpersonation -User:serviceAccount
为特定用户或用户组配置模拟
打开 Exchange 命令行管理程序。 在“开始”菜单中,选择 >Microsoft Exchange Server 2013 的 所有程序。
运行 New-ManagementScope cmdlet 以创建可向其分配模拟角色的作用域。 如果现有范围可用,则可以跳过此步骤。 以下示例演示如何为特定组创建管理作用域。
New-ManagementScope -Name:scopeName -RecipientRestrictionFilter:recipientFilterNew-ManagementScope cmdlet 的 RecipientRestrictionFilter 参数定义作用域的成员。 可以使用 标识 对象的属性创建筛选器。 下面的示例是将结果限制为用户名称为“john”的单个用户的筛选器。
Name -eq "john"运行 New-ManagementRoleAssignment cmdlet 以添加模拟指定范围成员的权限。 下面的示例演示如何配置服务帐户以模拟范围内的所有用户。
New-ManagementRoleAssignment -Name:impersonationAssignmentName -Role:ApplicationImpersonation -User:serviceAccount -CustomRecipientWriteScope:scopeName
管理员授予模拟权限后,可以使用服务帐户对其他用户的帐户进行调用。 可以使用 Get-ManagementRoleAssignment cmdlet 验证角色分配。
另请参阅
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈