Exchange права на почтовый ящик

Exchange права на почтовый ящик

Exchange 2010–Как настроить права полного доступа к почтовому ящику

В Exchange 2010 вы можете дать пользователю полные права на почтовый ящик другого пользователя, общий ящик или ресурсный почтовый ящик.

Как дать право полного доступа к почтовому ящику через Exchange Management Console

В данном примере мы дадим пользователю ‘Bob Builder’ полные права на почтовый ящик ‘contact-us’.

  1. Открываем Exchange Management Console, переходим в ‘Recipient Configuration’‘Mailbox’
  2. Нажимаем правой кнопкой на ящике, к которому мы хотим дать полный доступ.
  3. Выбираем из меню пункт ‘Manage Full Access Permission’
  4. Нажимаем кнопку ‘Add’
  5. Используя окно ‘Select User or Group’ находим требуемых пользователей, выбираем их и нажимаем ‘OK’
  6. Для применения изменений нажимаем ‘Manage’

Как дать право полного доступа к почтовому ящику через Exchange Management Shell

Если вы чувствуете себя достаточно опытным пользователем шелла, то можете выполнить ту же операцию с помощью всего одной команды:

Add-MailboxPermission -identity "Bob Builder" accessrights:fullaccess -user "Contact-Us"

Как удалить полный доступ к почтовому ящику

Для удаления выданных ранее прав также воспользуемся соответствующей командой Powershell. В этом примере мы удалим полные права для пользователя ‘Bob Builder’ из почтового ящика ‘Contact-Us’.

Remove-MailboxPermission -identity "Bob Builder" accessrights:fullaccess -user "Contact-Us"

Как вывести список пользователей, имеющих полные права на почтовый ящик

В примере ниже мы выводим список пользователей, имеющих права полного доступа на почтовый ящик ‘Contact-Us’.

get-mailboxpermission -identity "Contact-Us" | format-table -wrap

Полезная информация

Вчера добрую половину дня выбирал себе ноутбук. Перечитал кучу обзоров, мнений и форумов и в итоге нашел ноутбуки прямо в руки – отличный блог про ноуты с обзорами и многим другим. Именно там и подобрал себе модель, подходящую мне по всем параметрам.

О здоровье своих детей необходимо заботиться с самого рождения. И если есть необходимость, то для сынишки я использую только интернет магазин косметики Mamaorganica. Очень давно закупаюсь только у них и очень доволен.

Этот пост September 14, 2011 at 1:25 pm опубликовал molse в категории Exchange 2010. Желающие могут оформить RSS подписку на комменты. Both comments and trackbacks are currently closed.

В этой статье я опишу каким образом можно дать полные права к почтовому ящику с помощью консоли Exchange и Exchange Management Shell, а так же как получить список пользователей имеющих полные права на почтовые ящики.

Читайте также:  1С найти строку в табличной части документа

Установка разрешений на почтовый ящик с помощью консоли Exchange.

Для того, что бы дать полные права на почтовый ящик, открываем консоль Exchange,
1 заходим в “Recipients Configuration- Mailbox”;
2 выбираем почтовый ящик к которому мы хотим дать полный доступ;
3 справа в колонке нажимаем «Manage Full Access Permission» или нажимаем правой кнопкой мыши на ящике и выбираем «Manage Full Access Permission».

4 в открывшемся окне нажимаем кнопку “Add” и указываем пользователя, который будет иметь полный доступ на этот почтовый ящик.

После этого нажимаем кнопку “Manage”
Таким же образом удаляются полные права на почтовый ящик, только вместо добавления пользователя вы в окне Manage Full Access Permission удаляете необходимого пользователя.

Установка разрешений на почтовый ящик с помощью Exchange Management Shell.

1 Запускаете Exchange Management Shell;
2 вводите команду
Add-MailboxPermission -identity "User1" -accessrights:fullaccess -user "User2"
User1 – почтовый ящик на который вы добавляете полные права
User2 – пользователь, который будет обладать полными правами почтового ящика User1

Для удаления полного доступа к ящику необходимо в Exchange Management Shell ввести команду
Remove-MailboxPermission -identity "User1" -accessrights:fullaccess -user "User2"

Получение списка пользователей с полными правами на другие почтовый ящики.

Если у вас в Exchange несколько тысяч пользователей, да даже если несколько сотен, может возникнуть ситуация когда вам необходимо узнать у кого на какие электронные ящики есть полный доступ и сделать это не для конкретного пользователя, а для все организации, т.е. для нескольких сотен или тысяч пользователей. Естественно заходить на каждый ящик и смотреть права, мягко говоря глупо. Можно просто выполнить команду в Exchange Management Shell и узнать у кого из пользователей на какие ящики есть полные права.
Запускаем Exchange Management Shell и вставляем туда следующую команду и нажимаем "Enter".

Get-Mailbox -resultsize unlimited | Get-MailboxPermission | where < ($_.AccessRights -eq "FullAccess") -and ($_.IsInherited-eq $false) -and -not ($_.User -like "NT AUTHORITYSELF") >| Export-Csv c:TempFullAccess.csv -Encoding unicode

В результате на диске С, в папке temp будет создан файл FullAccess.csv в котором будет все подробная информация о том, у кого из пользователей на какой почтовый ящики есть полный доступ.
Для тех кто в Excel не силен, немного поясню как увидеть в читабельном виде результат команды.
Открываем в Excel файл FullAccess.csv , выделяем первый столбец, нажатием на кнопку «А», затем заходим в закладку «Данные» и нажимаем кнопку «Текст по столбцам»

Читайте также:  Bootmgr is compressed что это

В открывшемся окне выбираете "с разделителями" и нажимаете "Далее".

Затем указываете, что символом-разделителем является запятая и нажимаете "Далее".

После этого нажмете "Готово".


В результате у вас будет несколько столбцов, нас интересует столбцы User и Identity. В User указаны пользователи имеющие полные права на почтовый ящик Identity.

За время работы с Exchange сервером очень часто от пользователей получали запросы на предоставление различного доступа к почтовым ящикам пользователей, к общим почтовым ящикам или к группам рассылки. Ну про легитимность данной процедуры поговорим как-нибудь отдельно, а вот техническая сторона иногда вызывала затруднения.

Часто запросы звучали так: «Хочу чтобы пользователь мог читать, но не мог удалять письма в почтовом ящике!» Или так: «Хочу отправлять сообщения от имени группы!»

Давайте разберемся по порядку чем нам с этим может помочь родная консоль Exchange.


Рис.1. Права доступа к ящику пользователя в консолях Exchange 2010/2013

Как мы видим из рис.1, к почтовому ящику пользователей через консоль могут быть предоставлены: полный доступ и/или доступ отправки от имени. Эти же права распространяется и на общие почтовые ящики (mailbox type=shared).


Рис.2. Права доступа к группе рассылки в консолях Exchange 2010/2013

Для групп рассылки (рис.2) все немного проще и хуже одновременно. В консоли 2010 даже нет возможности выдачи прав. В консоли 2013 такая возможность присутствует.

Теперь давайте отбросим «костыли» консолей Exchange и обратимся непосредственно к Powershell’у и к Active Directory, которые позволят нам поиграться с правами намного гибче.

1. Предоставление прав «Отправить как»

Предоставление прав «отправить как» — это даже не функция «Exchange» — это целиком права Active Directory. Так что мы можем спокойно использовать закладку Security в AD для выдачи таких прав.


Рис.3. Права на отправку от имени пользователя и от имени группы рассылки

То же самое можно сделать и используя Powershell с подключенным модулем ActivDirectory. К примеру: предоставление пользователю с логином IvanovVV прав отправлять сообщения как «Поддержка пользователей».

Читайте также:  Canon eos 40d kit

Add-ADPermission "Поддержка пользователей" -user "IvanovVV" -ExtendedRights Send-As

Данный способ подходит как для предоставления прав на почтовые ящики, так и для предоставления права на группы рассылки.

2. Предоставление прав на почтовые ящики пользователей и на общие почтовые ящики, кроме прав «Отправить как».

Предоставление прав на почтовые ящики затрагивает непосредственно базы Exchange сервера, поэтому для данного действия будем использовать консоль PowerShell с подключенным модулем Exchnage. К примеру: предоставим полные права пользователю IvanovVV к почтовому ящику, который имеет alias (синоним) «Service.Desk».

Add-MailboxPermission -Identity "Service.Desk" -user "IvanovVV" -AccessRights FullAccess -InheritanceType All

В данном случае мы предоставили пользователю полные права. Полные права мы могли бы предоставить и через консоль Exchange, но через Powershell мы можем немного расширить свои возможности по уровню предоставления прав: AcessRights: FullAccess, ExternalAccount, DeleteItem, ReadPermission, ChangePermission, ChangeOwner.

Параметр InheritanceType позволяет указывать, будут ли разрешения наследоваться папками в почтовом ящике.

Более подробно с примерами и описанием все параметров можно прочитать тут: Add-MailboxPermission

3. Предоставление «Глобальных» прав к почтовым ящикам.

Предположим что вы крутой админ и вам нужен полный доступ к ящикам всех пользователей. Или у вас есть крутой сервис, который лазает по ящикам пользователей. Тогда для вас протоптан путь в консоль ADSI — Configuration — туда, где хранятся настройки и права самого Exchange. Смотрим Рис.4. Все выставленные там права наследуются всеми почтовыми базами и, как следствие, наследуются всеми, вновь создаваемыми почтовыми, ящиками. К уже созданным почтовым ящикам права необходимо будет выставлять вручную (ну или через PS скрипт).


Рис.4. Глобальные права на все почтовые ящики

P.S.: Я специально в статье не учитывал такую функцию как «Отправить от имени» (Send on behalf) — данная функция, в силу российского менталитета, в России почти не используется, по крайней мере я ни разу этого не видел и не слышал о таком. Но такая функция тоже присутствует и нам стоит о ней помнить.

Данная статья не подлежит комментированию, поскольку её автор ещё не является полноправным участником сообщества. Вы сможете связаться с автором только после того, как он получит приглашение от кого-либо из участников сообщества. До этого момента его username будет скрыт псевдонимом.

Ссылка на основную публикацию
Adblock detector