Parameters
-Domain
The Domain parameter filters the results by the fully qualified domain name (FQDN) of the domain (for example, contoso.com).
You can’t use this parameter with the Identity parameter.
Type: | Fqdn |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-DomainController
The DomainController parameter specifies the domain controller that’s used by this cmdlet to read data from or write data to Active Directory. You identify the domain controller by its fully qualified domain name (FQDN). For example, dc01.contoso.com.
The DomainController parameter isn’t supported on Edge Transport servers. An Edge Transport server uses the local instance of Active Directory Lightweight Directory Services (AD LDS) to read and write data.
Type: | Fqdn |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-Identity
The Identity parameter specifies the Exchange server that you want to view. You can use any value that uniquely identifies the Exchange server. For example:
- Name
- GUID
- Distinguished name (DN)
- ExchangeLegacyDN
You can’t use this parameter with the Domain parameter.
Type: | ServerIdParameter |
Position: | 1 |
Default value: | None |
Accept pipeline input: | True |
Accept wildcard characters: | False |
Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-Status
The Status switch specifies whether to include additional property values in the results, for example, the Watson state, StaticDomainControllers, and runtime domain controller usage. You don’t need to specify a value with this switch.
To see the additional values, you need to pipe the output to a formatting cmdlet, for example, the Format-List cmdlet.
Type: | SwitchParameter |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
Настраиваемые фильтры, использующие параметр RecipientFilter
Если предустановленные фильтры не соответствуют требованиям к созданию или изменению динамических групп рассылки, политик адресов электронной почты и списков адресов, можно создать настраиваемый фильтр с помощью параметра RecipientFilter.
Параметр фильтра получателей доступен для следующих командлетов:
Дополнительные сведения о фильтруемых свойствах, которые можно использовать с параметром RecipientFilter, см. в статью Filterable properties for the RecipientFilter parameter.
Пример настраиваемой фильтрации
Для создания динамической группы рассылки в следующем примере используется параметр RecipientFilter. Синтаксис этого примера подобен, но не идентичен синтаксису, используемому для создания политики адресов электронной почты и обычного или глобального списка адресов.
В этом примере настраиваемые фильтры используются для создания динамической группы рассылки пользовательских почтовых ящиков со значением атрибута Company, равным Contoso, и значением атрибута Office, равным North Building.
Документация по командной консоли Exchange
В следующей таблице вы можете найти ссылки на статьи, которые помогут вам узнать и использовать Exchange управленческой оболочки.
Статья | Описание |
---|---|
Запустите командную консоль Exchange | Найдите и откройте Exchange на Exchange сервере или компьютере с установленными Exchange средствами управления. |
Подключение к серверам Exchange Server с помощью удаленной оболочки PowerShell | Используйте Windows PowerShell локальном компьютере для подключения к Exchange серверу. |
Управление удаленным доступом PowerShell к серверам Exchange | Узнайте, как заблокировать или разрешить удаленный доступ пользователей PowerShell к Exchange серверам. |
Поиск разрешений, необходимых для запуска командлета Exchange | Найдите разрешения, необходимые для запуска определенного комлета или одного или более параметров в этом комлете. |
Синтаксис командлетов Exchange | Узнайте о структуре и синтаксисе cmdlets в Exchange PowerShell. |
Фильтры получателей в командах командной консоли Exchange | Узнайте о фильтрах получателей в Exchange управленческой оболочки. |
Используйте Update-ExchangeHelp для обновления статей Exchange PowerShell на Exchange серверах | Узнайте, как использовать Update-ExchangeHelp для обновления справки для Exchange ссылок на Exchange серверах. |
Настраиваемые фильтры, использующие параметр Filter
Параметр Filter используется для фильтрации результатов команды и указания получаемых объектов. Например, вместо извлечения информации обо всех пользователях или группах с помощью строки фильтра можно выделить сведения о некотором наборе пользователей или групп. Этот тип фильтра не изменяет конфигурацию или атрибуты объектов. Он только изменяет набор объектов, данные о которых возвращает команда.
Использование параметра Filter для изменения результатов команды называется фильтрацией на стороне сервера. В случае фильтрации на стороне сервера команда или фильтр обрабатываются на сервере. Мы также поддерживаем клиентскую фильтрацию, в которой команда извлекает все объекты с сервера, а затем применяет фильтр в локальном окне консоли. Для выполнения фильтрации на стороне клиента используйте командлет Where-Object. Дополнительные сведения о фильтрации на стороне сервера и клиента см. раздел «Фильтрация данных» статьи Working with Command Output.
Чтобы найти фильтруемые свойства для командлетов с параметром Filter, можно запустить команду Get для объекта и отформатировать вывод путем передачи по конвейеру параметра Format-List. Большинство возвращенных значений будут доступны для использования в параметре Filter. Следующий пример возвращает подробный список почтового ящика пользователя Ayla.
Параметр Filter доступен для следующих получателей:
- Get-CASMailbox
- Get-Contact
- Получить DistributionGroup
- Получить DynamicDistributionGroup
- Get-Group
- Get-Mailbox
- Get-MailContact
- Get-MailPublicFolder
- Get-MailUser
- Get-Recipient
- Get-RemoteMailbox
- Get-SecurityPrincipal
- Get-UMMailbox
- Get-User
- Get-UnifiedGroup
Дополнительные сведения о фильтруемых свойствах, которые можно использовать с параметром Filter, см. в статью Filterable properties for the Filter parameter.
Пример
В этом примере параметр Filter используется для возврата сведения о пользователях, должность которых содержит слово manager.
Описание
Этот cmdlet позволяет создать удаленное подключение PowerShell к вашей Exchange Online организации. Этот командлет можно использовать для проверки подлинности для новых командлетов rest API в модуле Exchange Online PowerShell V2, а также для всех существующих командлетов powerShell Exchange Online PowerShell (удаленных командлетов PowerShell).
Дополнительные сведения о текущих и прошлых общедоступных версиях модуля EXO V2 см. в Эта тема написана для текущей общедоступных версий. Специально отмечены функции или параметры, доступные только в предварительной версии модуля.
Frequently Asked Questions
Error : Files cannot be loaded because running scripts ….
If you get the error “Files cannot be loaded because running scripts is disabled on this system. Provide a valid certificate with which to sign the files.” then you have forgotten to set the execution policy.Run the following cmd in an elevated PowerShell Window:
Cannot validate argument on parameter ‘Session’ – error
You are trying to connect to Exchange Online with an MFA enabled account while using the basic authentication option.Make sure you install the latest Exchange Online Module, EXO V2, as explained in the beginning of the article.
Fail to create a runspace because you have exceeded the maximum number of connections allowed
You have used all 5 available connections to Exchange Online. Make sure you disconnect your PowerShell sessions.To close the current sessions you get to run the following cmd:
Connecting to remote server outlook.office365.com failed with the followingerror message : Access is denied
To connect to Exchange Online you will need to use an account that is global admin in Office 365. The account that you are connecting with doesn’t have the correct permissions.
Предустановленные фильтры
Фильтр предварительной фильтрации — это часто используемый Exchange, который можно использовать для удовлетворения различных критериев фильтрации получателей для создания динамических групп рассылки, политик адресов электронной почты, списков адресов или галок. С помощью предварительно заранее отфильтрованных фильтров можно использовать Exchange PowerShell или центр администрирования Exchange (EAC). Предустановленные фильтры позволяют выполнить следующие операции.
- Определение области получателей.
- Добавление условной фильтрации на основе таких свойств, как компания, отдел и область или регион.
- Добавление настраиваемых атрибутов для получателей. Дополнительные сведения см. в статье Custom Attributes.
Следующие параметры считаются предустановленными фильтрами.
- IncludedRecipients
- ConditionalCompany
- ConditionalDepartment
- ConditionalStateOrProvince
- ConditionalCustomAttribute1 to ConditionalCustomAttribute15.
Предустановленные фильтры доступны для следующих командлетов:
Пример предварительного фильтра
В этом примере описывается использование предварительно отфильтрованных фильтров в Exchange для создания динамической группы рассылки. Синтаксис задействованных в примере команд подобен синтаксису, который используется для создания политики электронных адресов и обычного или глобального списка адресов, но не идентичен ему. При создании заранее подготовленного фильтра необходимо ответить на указанные ниже вопросы.
-
Получателей из какого подразделения требуется включить в список? (Этот вопрос относится к параметру RecipientContainer).
Примечание
Выбор подразделения для этих целей применимо только при создании динамических групп рассылки, а не для политик адресов электронной почты, обычных и глобальных списков адресов.
-
Какой тип получателей требуется включить? (Этот вопрос относится к параметру IncludedRecipients).
-
Какие дополнительные условия требуется включить в фильтр? (Этот вопрос относится к параметрам ConditionalCompany, ConditionalDepartment, ConditionalStateOrProvince и ConditionalCustomAttribute).
В этом примере создается динамическая группа распределения Contoso Finance для почтовых ящиков пользователей подразделения Contoso.com/Users, а также указывается условие для включения только пользователей, атрибут Department которых равен Finance, а атрибут Company равен Contoso.
В этом примере отображаются свойства новой динамической группы рассылки.
Requirements for EXO V2
The new Exchange Online PowerShell module only works on PowerShell 5.x and lower. It doesn’t work on Linux or Mac. Support for PowerShell 6 and 7 is planned, but there is no release date announced yet.
You will need to configure PowerShell to run remote scripts. By default this is disabled.
- Open PowerShell in an elevated mode Press Windows key + X and choose Windows PowerShell (admin)
- Set the execution policy to Remote Signed:
Set-ExecutionPolicy RemoteSigned
You only need to set this once per computer. If haven’t set the execution policy and try to connect to Exchange Online you will get an error:
Files cannot be loaded because running scripts is disabled on this system. Provide a valid certificate with which to sign the files.
Install the Exchange Online V2 Module in PowerShell
We need to install the EXO V2 Module in PowerShell before we can connect to Exchange Online. Again open an Elevated Windows PowerShell window:
- Open PowerShell in an elevated modePress Windows key + X and choose Windows PowerShell (admin)
- Install PowerShellGetWe need to install PowerShellGet before we can install the EXO V2 Module.
# Close and re-open your PowerShell window when done Install-Module -Name PowerShellGet -Force
- Install EXO V2 moduleWe can now install the latest Exchange Online PowerShell module with the Install-Module cmdlet
# Add -Force to it when you need to update EXO V1. Install-Module -Name ExchangeOnlineManagement -Force
Automatically check if EXO Module is installed
Are you going to use the Exchange Online module in a script? Then make sure you automatically check if the module is installed before your try to connect.
With the use of a single cmdlet, we can list all installed modules in PowerShell. You can prevent unnecessary errors by simply verifying that the ExchangeOnlineManagement module is available.
(Get-Module -ListAvailable -Name ExchangeOnlineManagement) -ne $null
The cmd above should return a list of installed Exchange Online modules. If the result is empty, then we know that the module isn’t installed.
Connecting PowerShell to Exchange Online Alternative
If you can’t use the new EXO v2 module, because you are using Basic Authentication for example, then you still can connect to Exchange Online. Keep in mind that this gets eventually deprecated, so when possible use the Modern Authentication option described earlier.
For the basic authentication method we are going to import the Exchange Online cmdlets. First make sure that you have set the execution policy to remote signed:
- Open PowerShell in an elevated modePress Windows key + X and choose Windows PowerShell (admin)
- Set the execution policy to Remote Signed:
Set-ExecutionPolicy RemoteSigned
- To connect to Exchange Online we first need to store our credentials:
$cred = Get-Credential
- Next we can create and import the Exchange Online cmdlet into PowerShell:
# Create the session $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection # Import it into your PowerShell session Import-PSSession $Session -DisableNameChecking
Make sure you disconnect your session when you are done:
Remove-PSSession $Session
Просмотр состояния доступа пользователей к удаленной оболочке PowerShell
Чтобы просмотреть состояние доступа к удаленной оболочке PowerShell для определенного пользователя, введите команду в следующем формате:
В этом примере показано, как отобразить состояние доступа к удаленной оболочке PowerShell для пользователя Sarah Jones:
Чтобы отобразить Exchange Online PowerShell для всех пользователей, запустите следующую команду:
Чтобы отобразить только тех пользователей, у которых нет доступа к удаленной оболочке PowerShell, выполните следующую команду:
Чтобы отобразить только тех пользователей, у которых есть доступ к удаленной оболочке PowerShell, выполните следующую команду:
Parameters
-Archive
This parameter is available only in the cloud-based service.
` Fill Archive Description `
Type: | SwitchParameter |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Online |
-Confirm
The Confirm switch specifies whether to show or hide the confirmation prompt. How this switch affects the cmdlet depends on if the cmdlet requires confirmation before proceeding.
- Destructive cmdlets (for example, Remove-* cmdlets) have a built-in pause that forces you to acknowledge the command before proceeding. For these cmdlets, you can skip the confirmation prompt by using this exact syntax: .
- Most other cmdlets (for example, New-* and Set-* cmdlets) don’t have a built-in pause. For these cmdlets, specifying the Confirm switch without a value introduces a pause that forces you acknowledge the command before proceeding.
Type: | SwitchParameter |
Aliases: | cf |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-DateFormat
- M/d/yyyy: This is the default value for en-US.
- M/d/yy
- MM/dd/yy
- MM/dd/yyyy
- yy/MM/dd
- yyyy-MM-dd
- dd-MMM-yy
For more information about the date format strings, see Standard Date and Time Format Strings.
Type: | String |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-DomainController
This parameter is available only in on-premises Exchange.
The DomainController parameter specifies the domain controller that’s used by this cmdlet to read data from or write data to Active Directory. You identify the domain controller by its fully qualified domain name (FQDN). For example, dc01.contoso.com.
Type: | Fqdn |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-Identity
- Name
- Alias
- Distinguished name (DN)
- Canonical DN
- Domain\Username
- Email address
- GUID
- LegacyExchangeDN
- SamAccountName
- User ID or user principal name (UPN)
Type: | MailboxIdParameter |
Position: | 1 |
Default value: | None |
Accept pipeline input: | True |
Accept wildcard characters: | False |
Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-Language
Valid input for this parameter is a supported culture code value from the Microsoft .NET Framework CultureInfo class. For example, da-DK for Danish or ja-JP for Japanese. For more information, see CultureInfo Class.
Type: | CultureInfo |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-LocalizeDefaultFolderName
Type: | SwitchParameter |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-TimeFormat
- h:mm tt: This is the default value for en-US.
- hh:mm tt
- H:mm
- HH:mm
For more information about the time format strings, see Standard Date and Time Format Strings.
Type: | String |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-TimeZone
A valid value for this parameter is a supported time zone key name (for example, «Pacific Standard Time»).
To see the available values, run the following command: .
If the value contains spaces, enclose the value in quotation marks («). The default value is the time zone setting of the Exchange server.
Type: | ExTimeZoneValue |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-WhatIf
The WhatIf switch simulates the actions of the command. You can use this switch to view the changes that would occur without actually applying those changes. You don’t need to specify a value with this switch.
Type: | SwitchParameter |
Aliases: | wi |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
Описание
Разрешение SendAs позволяет пользователю или участникам группы отправлять сообщения, которые, как представляется, приходят из указанного почтового ящика, почтового контакта, пользователя почты или группы.
Для его запуска необходимо получить соответствующие разрешения. В этой статье перечислены все параметры командлета. Но некоторые из них могут быть вам не доступны, если они не включены в назначенные разрешения. Сведения о необходимых разрешениях для запуска командлетов и использования параметров в организации см. в статье Find the permissions required to run any Exchange cmdlet.
Настраиваемые фильтры, использующие параметр ContentFilter
Параметр ContentFilter позволяет выбрать определенное содержимое сообщения для экспорта при использовании командлета New-MailboxExportRequest. При обнаружении сообщения, соответствующего фильтру содержимого, оно экспортируется в PST-файл.
Пример параметра ContentFilter
В этом примере создается запрос на экспорт, который выполняет в почтовом ящике пользователя Ayla поиск сообщений, тело которых содержит фразу company prospectus. Если фраза найдена, то команда экспортирует все файлы с этой фразой в PST-файл.
Дополнительные сведения о фильтруемых свойствах, которые можно использовать с параметром ContentFilter, см. в статью Filterable properties for the ContentFilter parameter.
Параметры
-AccessRights
Параметр AccessRights указывает разрешение, которое необходимо добавить для целевого получателя для целевого получателя. Единственным допустимым значением для этого параметра является SendAs.
Type: | MultiValuedProperty |
Position: | Named |
Default value: | None |
Accept pipeline input: | True |
Accept wildcard characters: | False |
Applies to: | Exchange Online |
-Confirm
Переключатель подтверждения указывает, показывать или скрывать запрос подтверждения. Влияние этого параметра на командлет зависит от того, требуется ли командлету подтверждение перед выполнением.
- Деструктивные командлеты (например, Remove-* командлеты) имеют встроенную паузу, которая заставляет вас подтвердить команду перед продолжением. Можно пропускать запросы на подтверждение этих командлетов, используя следующий синтаксис: .
- Большинство других командлетов (например, New-* и Set-*командлеты) не имеют встроенной паузы. Для этих командлетов указание переключателя Confirm без значения вводит паузу, которая заставляет вас подтвердить команду перед продолжением.
Type: | SwitchParameter |
Aliases: | cf |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Online |
-Identity
Параметр Identity определяет целевого получателя. Пользователь или группа, указанные параметром Trustee, получает разрешение SendAs для этого получателя.
Можно указать любой тип получателя, например:
- Почтовые ящики
- пользователи почты;
- внешние контакты;
- группы рассылки;
- динамические группы рассылки
Вы можете использовать любое значение, однозначно определяющее получателя. Например:
- Имя
- Псевдоним
- различающееся имя (DN);
- различающееся имя (DN);
- Каноническое краткое имя
- GUID
Type: | RecipientIdParameter |
Position: | 1 |
Default value: | None |
Accept pipeline input: | True |
Accept wildcard characters: | False |
Applies to: | Exchange Online |
-SkipDomainValidationForMailContact
Переключатель SkipDomainValidationForMailContact пропускает проверку, подтверждая, что прокси-адреса внешнего контакта, указанные параметром Identity, находятся в принятых доменах организации. Для этого переключателя не требуется указывать значение.
Type: | SwitchParameter |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Online |
-SkipDomainValidationForMailUser
Переключатель SkipDomainValidationForMailUser пропускает проверку, подтверждая, что прокси-адреса пользователя почты, указанные параметром Identity, находятся в принятых доменах организации. Для этого переключателя не требуется указывать значение.
Type: | SwitchParameter |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Online |
-SkipDomainValidationForSharedMailbox
Переключатель SkipDomainValidationForSharedMailbox пропускает проверку, которая подтверждает прокси-адреса общего почтового ящика, указанные параметром Identity, в принятых доменах организации. Для этого переключателя не требуется указывать значение.
Type: | SwitchParameter |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Online |
-Trustee
Параметр Trustee указывает пользователя или группу, которая получает разрешение SendAs для получателя, указанного параметром Identity. Для этого параметра можно указать следующие типы пользователей или групп (принципы безопасности):
- Пользователи почтовых ящиков.
- Пользователи почты с учетной записью Майкрософт
- Группы безопасности.
Можно использовать любое значение, уникальным образом идентифицирующее пользователя или группу. Например:
- Имя
- Псевдоним
- различающееся имя (DN);
- различающееся имя (DN);
- Имя \ пользователя домена
- Адрес электронной почты
- GUID
- LegacyExchangeDN
- SamAccountName
- Идентификатор пользователя или имя участника-пользователя
Type: | SecurityPrincipalIdParameter |
Position: | Named |
Default value: | None |
Accept pipeline input: | True |
Accept wildcard characters: | False |
Applies to: | Exchange Online |
-WhatIf
Параметр WhatIf имитирует действия команды. Вы можете использовать его для просмотра результатов изменений без фактического внесения этих изменений. Указывать значение для этого параметра не обязательно.
Type: | SwitchParameter |
Aliases: | wi |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Online |
Description
The output of this cmdlet shows the following information:
- Identity: The mailbox in question.
- User: The security principal (user, security group, Exchange management role group, etc.) that has permission to the mailbox.
- AccessRights: The permission that the security principal has on the mailbox. The available values are ChangeOwner (change the owner of the mailbox), ChangePermission (change the permissions on the mailbox), DeleteItem (delete the mailbox), ExternalAccount (indicates the account isn’t in the same domain), FullAccess (open the mailbox, access its contents, but can’t send mail) and ReadPermission (read the permissions on the mailbox). Whether the permissions are allowed or denied is indicated in the Deny column.
- IsInherited: Whether the permission is inherited (True) or directly assigned to the mailbox (False). Permissions are inherited from the mailbox database and/or Active Directory. Typically, directly assigned permissions override inherited permissions.
- Deny: Whether the permission is allowed (False) or denied (True). Typically, deny permissions override allow permissions.
By default, the following permissions are assigned to user mailboxes:
- FullAccess and ReadPermission are directly assigned to NT AUTHORITY\SELF. This entry gives a user permission to their own mailbox.
- FullAccess is denied to Administrator, Domain Admins, Enterprise Admins and Organization Management. These inherited permissions prevent these users and group members from opening other users’ mailboxes.
- ChangeOwner, ChangePermission, DeleteItem, and ReadPermission are allowed for Administrator, Domain Admins, Enterprise Admins and Organization Management. Note that these inherited permission entries also appear to allow FullAccess. However, these users and groups do not have FullAccess to the mailbox because the inherited Deny permission entries override the inherited Allow permission entries.
- FullAccess is inherited by NT AUTHORITY\SYSTEM and ReadPermission is inherited by NT AUTHORITY\NETWORK.
- FullAccess and ReadPermission are inherited by Exchange Servers, ChangeOwner, ChangePermission, DeleteItem, and ReadPermission are inherited by Exchange Trusted Subsystem and ReadPermission is inherited by Managed Availability Servers.
By default, other security groups and role groups inherit permissions to mailboxes based on their location (on-premises Exchange or Microsoft 365).
You need to be assigned permissions before you can run this cmdlet. Although this topic lists all parameters for the cmdlet, you may not have access to some parameters if they’re not included in the permissions assigned to you. To find the permissions required to run any cmdlet or parameter in your organization, see Find the permissions required to run any Exchange cmdlet.
Что нужно знать перед началом работы
-
Предполагаемое время для завершения каждой процедуры: менее 5 минут
-
Microsoft 365 глобальные администраторы имеют доступ к Exchange Online PowerShell и могут использовать процедуры в этой статье для настройки доступа Exchange Online PowerShell для других пользователей. Дополнительные сведения о разрешениях в Exchange Online см. в Exchange Online.
-
Для выполнения этой процедуры Exchange Online PowerShell. Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell.
-
Подробные сведения о синтаксисе фильтра OPath в Exchange Online см. в дополнительных сведениях
-
Правила доступа клиентов также можно использовать для блокировки доступа PowerShell к Exchange Online. Подробные сведения см. в Exchange Online.
Совет
Возникли проблемы? Попросите помощи на форумах Exchange. Перейти на форумы можно по следующим ссылкам: Exchange Online или Exchange Online Protection.
Отключение доступа к удаленной оболочке PowerShell для нескольких пользователей
Отключить доступ к удаленной оболочке PowerShell для определенной группы пользователей можно несколькими способами, указанными ниже.
-
Фильтрация пользователей на основе существующего атрибута. Этот метод предполагает, что все целевые учетные записи пользователей имеют уникальный фильтруемый атрибут. Некоторые атрибуты, такие как должность, отдел, адрес и телефонный номер, отображаются только при использовании командлета Get-User. Другие же, такие как атрибуты от CustomAttribute1 до CustomAttribute15, отображаются только при использовании командлета Get-Mailbox.
-
Используйте список определенных пользователей. После создания списка определенных пользователей можно использовать этот список, чтобы отключить их доступ к Exchange Online PowerShell.
Фильтрация пользователей на основе существующего атрибута
Чтобы отключить доступ к Exchange Online PowerShell для любого числа пользователей на основе существующего атрибута, используйте следующий синтаксис:
В этом примере показано отключение доступа к удаленной оболочке PowerShell для всех пользователей, атрибут Title которых содержит значение Sales Associate.
Использование списка определенных пользователей
Чтобы отключить доступ к удаленной оболочке PowerShell для списка определенных пользователей, введите команду в следующем формате:
В следующем примере используется текстовый файл C:\My Documents\NoPowerShell.txt для идентификации пользователей по их учетным записям. Текстовый файл должен содержать одну учетную запись в каждой строке следующим образом:
После заполнения текстового файла учетными записями пользователей, которые необходимо обновить, запустите следующие команды:
Параметры
-DomainController
Параметр DomainController задает контроллер домена, который используется этим командлетом для чтения данных из службы каталогов Active Directory или записи данных в нее. Укажите контроллер домена с использованием его полного доменного имени (FQDN). Например, dc01.contoso.com.
Параметр DomainController не поддерживается пограничными транспортными серверами. Пограничный транспортный сервер использует локальный экземпляр службы Active Directory облегченного доступа к каталогам (AD LDS) для чтения и записи данных.
Type: | Fqdn |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-Identity
Параметр Identity указывает идентификатор объекта, для которого выполняется получение разрешений. Разрешения для любого объекта Active Directory можно получить с помощью его отличимого имени (DN). Если объект является Exchange объектом, можно использовать имя объекта. Если различающееся имя или обычное имя содержит пробелы, его необходимо заключить в кавычки («).
Type: | ADRawEntryIdParameter |
Position: | 1 |
Default value: | None |
Accept pipeline input: | True |
Accept wildcard characters: | False |
Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-Owner
Коммутатор Owner возвращает владельца объекта Active Directory. Для этого переключателя не требуется указывать значение.
Этот переключатель нельзя использовать с помощью параметра User.
Type: | SwitchParameter |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-User
Параметр пользователя фильтрует результаты, у которых есть разрешения на объект Active Directory. Для этого параметра можно указать следующие типы пользователей или групп (принципы безопасности):
- Пользователи почтовых ящиков.
- пользователи почты;
- Группы безопасности.
Можно использовать любое значение, уникальным образом идентифицирующее пользователя или группу. Например:
- Имя
- Псевдоним
- различающееся имя (DN);
- различающееся имя (DN);
- Имя \ пользователя домена
- Адрес электронной почты
- GUID
- LegacyExchangeDN
- SamAccountName
- Идентификатор пользователя или имя участника-пользователя
Этот параметр нельзя использовать с параметром Owner.
Type: | SecurityPrincipalIdParameter |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
Подключение к Exchange Online с помощью PowerShell модуля EXO V2
Для импорта модуля EXOv2 в текущую сессию PowerShell, выполните команду:
Если вы используете аккаунт администратора с включенным MFA (Multi-Factor Authentication), используйте следующий команд лет для подключения к Exchange Online
Укажите пароль учетной записи, а затем введите ваш код подтверждения, полученный в SMS и нажмите Verify, или подтвердите вход в мобильном приложении Microsoft Authenticator.
Если вы используете аккаунт с отключенным MFA, используйте для подключения к Exchange Online следующие команды:
При подключении к Exchange Online в PowerShell появляется баннер со списком новых командлетов. Чтобы скрыть этот баннер, используйте команду:
Теперь вы можете управлять ящиками Exchnage Online с помощью PowerShell. Например, чтобы получить информацию о ящике a.semenov, выполните команду:
Чтобы закрыть удаленную PowerShell сессию с Exchange Online, используется командлет:
Сообщение об ошибках и проблемах модуля EXO V2
При отправке отчета о проблемах в не забудьте включить файлы журналов в сообщение электронной почты. Чтобы создать файл журнала, замените <Path to store log file> в нужной выходной папке и выполните следующую команду:
Примечание
Последняя версия модуля EXO V2 и частое использование командлетов Connect-ExchangeOnline и Disconnect-ExchangeOnline в одном сеансе или сценарии PowerShell могут привести к утечке памяти. Лучший способ избежать этой проблемы — использовать параметр CommandName в командлете Connect-ExchangeOnline, чтобы ограничить командлеты, применяемые в сеансе.