Применимо к: Exchange Server 2010 SP1
Последнее изменение раздела: 2009-10-20
Разрешения в Microsoft Exchange Server 2010 предоставляются с
помощью ролей управления, которые назначаются группам ролей
управления, политикам назначения ролей управления, универсальным
группам безопасности или напрямую пользователям. Пользователи
получают разрешения, если являются членами групп ролей или
универсальных групп безопасности, а также если для них назначены
политики назначения ролей.
Большинство разрешений предоставляется на основе членства в
группе ролей или назначения политик пользователям. Хотя
использование групп ролей и политик назначения упрощает
предоставление разрешений большому количеству пользователей, можно
и не знать, кто является членом группы ролей или кому была
назначена политика назначения. В этом случае окажется полезным
переключатель GetEffectiveUsers для командлета
Get-ManagementRoleAssignment. С его помощью можно
просмотреть, каким пользователям предоставлены разрешения,
посредством назначенных для этих пользователей групп ролей, политик
назначений и универсальных групп безопасности.
Переключатель GetEffectiveUsers используется в командлете
Get-ManagementRoleAssignment, если указан параметр
Role. Указав этот переключатель при использовании командлета
Get-ManagementRoleAssignment для определенной роли,
выполняется оценка всех объектов в этой роли, то есть групп ролей,
политик назначения и универсальных групп безопасности. После чего
выводится список членов каждого объекта.
 Примечание. |
| Переключатель GetEffectiveUser не отображает тех
пользователей, которые являются членами связанной внешней группы
ролей. Если найдена связанная группа ролей, то вместо списка
пользователей отображаются все члены связанной группы.
Дополнительные сведения о разрешениях в нескольких лесах см. в
разделе Общие
сведения о разрешениях при использовании нескольких лесов. |
Дополнительные сведения о ролях управления, группах ролей и
политиках назначения см. в разделе Общие сведения об
управлении доступом на основе ролей.
Дополнительные сведения о назначениях ролей управления см. в
разделе Общие
сведения о назначениях ролей управления.
Необходимы сведения о других задачах управления, связанных с
управлением разрешениями? См. раздел Управление
разрешениями.
Использование командной консоли для
получения списка всех действующих пользователей
| Примечание. |
| Консоль управления EMC невозможно использовать для получения
списка всех действующих пользователей. |
Чтобы отобразить список пользователей, которым был
предоставлены разрешения определенной роли, используйте следующий
синтаксис.
|
|
 Скопировать код |
Get-ManagementRoleAssignment -Role <role name> -GetEffectiveUsers
|
В этом примере отображается список пользователей,
которые имеют разрешения, предоставленные ролью «Mail
Recipients».
|
|
Скопировать код |
Get-ManagementRoleAssignment -Role "Mail Recipients" -GetEffectiveUsers
|
Если следует изменить свойства, которые возвращаются в
списке, или экспортировать список в CSV-файл, см. подраздел
Использование командной консоли для настройки и
отображения выходных данных далее в этом разделе.
Подробные сведения о синтаксисе и параметрах см. в
разделе Get-ManagementRoleAssignment.
Использование командой консоли для
поиска определенного пользователя в определенной роли
| Примечание. |
| Для поиска пользователя в определенной роли невозможно
использовать консоль управления EMC. |
Чтобы найти определенного пользователя, которому были
предоставлены разрешения определенной роли управления, необходимо
использовать командлет Get-ManagementRoleAssignment, который
позволяет получить список всех эффективных пользователей, а затем
передать выходные данные этого командлета в командлет Where.
Командлет Where отфильтровывает выходные данные и возвращает
только указанного пользователя. Используйте следующий
синтаксис.
|
|
Скопировать код |
Get-ManagementRoleAssignment -Role <role name> -GetEffectiveUsers | Where { $_.EffectiveUserName -Eq "<name of user>" }
|
В этом примере выполняется поиск пользователя David
Strome в роли Journaling.
|
|
Скопировать код |
Get-ManagementRoleAssignment -Role Journaling -GetEffectiveUsers | Where { $_.EffectiveUserName -Eq "David Strome" }
|
Сведения об изменении списка возвращаемых свойств или
экспорте списка в файл в формате CSV см. в подразделе Использование командной консоли для настройки и
отображения выходных данных далее в этом разделе.
Подробные сведения о синтаксисе и параметрах см. в
разделе Get-ManagementRoleAssignment.
Использование командой консоли для
нахождения определенного пользователя во всех ролях
| Примечание. |
| Для поиска пользователя во всех ролях невозможно использовать
консоль управления EMC. |
Чтобы узнать о всех ролях, разрешения которых были
предоставлены пользователю, следует использовать командлет
Get-ManagementRoleAssignment, позволяющий получить всех
действующих пользователей во всех ролях, а затем передать выходные
данные в командлет Where. Командлет Where фильтрует
выходные данные и возвращает только те назначения ролей, в
соответствии с которыми этому пользователю были предоставлены
разрешения.
|
|
Скопировать код |
Get-ManagementRoleAssignment -GetEffectiveUsers | Where { $_.EffectiveUserName -Eq "<name of user>" }
|
В этом примере выполняется поиск всех назначений ролей,
в соответствии с которыми были предоставлены разрешения
пользователю Kim Akers.
|
|
Скопировать код |
Get-ManagementRoleAssignment -GetEffectiveUsers | Where { $_.EffectiveUserName -Eq "Kim Akers" }
|
Сведения об изменении списка возвращаемых свойств или
экспорте списка в файл в формате CSV см. в подразделе Использование командной консоли для настройки и
отображения выходных данных далее в этом разделе.
Подробные сведения о синтаксисе и параметрах см. в
разделе Get-ManagementRoleAssignment.
Использование командной консоли для
настройки и отображения выходных данных
| Примечание. |
| Консоль EMC нельзя использовать для настройки и отображения
выходных данных.. |
В выходных данных командлета
Get-ManagementRoleAssignment по умолчанию могут не
содержаться нужные сведения. Выходные данные командлета содержат
различные свойства, которые можно просмотреть. Ниже перечислены
некоторые свойства, которые могут оказаться полезными.
- EffectiveUserName. Имя пользователя.
- Role. Роль, предоставившая разрешения.
- RoleAssigneeName. Группа ролей, политика назначения или
универсальная группа безопасности, предоставленная роли и
содержащая пользователя в свойстве
EffectiveUserName.
- RoleAssigneeType. Указывает объект назначения роли —
группа ролей, политика назначения, универсальная группа
безопасности или пользователь.
- AssignmentMethod. Указывает, является ли назначение роли
объекту прямым или косвенным.
- CustomRecipientWriteScope. Настроенная область записи
получателей (если применимо), которая была применена к назначению
роли при его создании. Указанная в этом свойстве область имеет
приоритет над неявной областью записи получателей, указанной в
свойстве
RecipientWriteScope.
- CustomConfigWriteScope. Настроенная область записи
конфигураций (если применимо), которая была применена к назначению
роли при его создании. Указанная в этом свойстве область имеет
приоритет над неявной областью записи конфигураций, указанной в
свойстве
ConfigWriteScope.
- RecipientReadScope. Указывает неявную область чтения
получателей, которые применена к этой роли.
- RecipientWriteScope. Указывает неявную область записи
получателей, которые применена к этой роли.
- ConfigReadScope. Указывает неявную область чтения
конфигураций, которые применена к этой роли.
- ConfigWriteScope. Указывает неявную область записи
конфигураций, которые применена к этой роли.
Чтобы выбрать свойства, которые следует отображать в
списке, необходимо использовать почти такие же команды, которые
использовались в разделах Использование командной
консоли для получения списка всех действующих пользователей,
Использование командой консоли для
поиска определенного пользователя в определенной роли и
Использование командой консоли для
нахождения определенного пользователя во всех ролях. Отличие
заключается в том, что результаты этих команд передаются в
командлеты Format-Table или Select-Object. Командлет
Format-Table используется для вывода списка результатов на
экран. Командлет Select-Object используется для вывода
списка результатов в CSV-файл.
Оба командлета позволяют определить свойства, которые
будут отображаться в нужном порядке. Командлет Format-Table
предоставляет больше возможностей при выводе результатов, а
командлет Select-Object не изменяет выходные данные, что
хорошо подходит для передачи списка в CSV-файл.
Дополнительные сведения о командлетах
Format-Table и Select-Object см. в разделе Работа с выходными
данными команды.
Вывод на
экран пользовательского списка
Выберите необходимые для отображения сведения и найдите
связанную команду в одной из следующих процедур.
Затем выберите свойства, которые необходимо включить в
список. Наконец, используйте следующий синтаксис для просмотра
списка.
|
|
Скопировать код |
<command to retrieve list > | Format-Table <property 1>, <property 2>, <property ...>
|
В этом примере показано, как найти Сергея Озерова для
всех ролей и отобразить свойства EffectiveUserName,
Role, CustomRecipientWriteScope и
CustomConfigWriteScope.
|
|
Скопировать код |
Get-ManagementRoleAssignment -GetEffectiveUsers | Where { $_.EffectiveUserName -Eq "David Strome" } | Format-Table EffectiveUserName, Role, CustomRecipientWriteScope, CustomConfigWriteScope
|
Подробные сведения о синтаксисе и параметрах см. в
разделе Get-ManagementRoleAssignment.
Вывод
пользовательского списка в CSV-файл
Чтобы экспортировать список в CSV-файл, необходимо
передать результаты выполнения команды
Get-ManagementRoleAssignment из соответствующей приведенной
выше процедуры в командлет Select-Object. Затем выходные
данные командлета Select-Object передаются в командлет
Export-CSV, который сохраняет выходные данные, разделенные
запятыми, в указанный файл.
Выберите необходимые для отображения сведения и найдите
связанную команду в одной из следующих процедур.
Затем выберите свойства, которые необходимо включить в
список. Наконец, используйте следующий синтаксис для экспорта
списка в CSV-файл.
|
|
Скопировать код |
<command to retrieve list > | Select-Object <property 1>, <property 2>, <property ...> | Export-CSV <filename>
|
+В этом примере показано, как найти Сергея Озерова для
всех ролей и отобразить свойства EffectiveUserName,
Role, CustomRecipientWriteScope и
CustomConfigWriteScope.
|
|
Скопировать код |
Get-ManagementRoleAssignment -GetEffectiveUsers | Where { $_.EffectiveUserName -Eq "David Strome" } | Select-Object EffectiveUserName, Role, CustomRecipientWriteScope, CustomConfigWriteScope | Export-CSV c:\output.csv
|
Теперь можно просмотреть CSV-файл в соответствующем
приложении.
Подробные сведения о синтаксисе и параметрах см. в
разделе Get-ManagementRoleAssignment.
