Предоставление прав на дополнительный почтовый ящик в Microsoft Exchange

01.08.2022

Предоставление прав на дополнительный почтовый ящик в Microsoft Exchange

В Microsoft Exchange можно выдать права Full Access, Send As и Send on Behalf.

Send As — дают права отправлять от адреса ящика другому пользователю.

Send on Behalf — права, аналогичные Send As, но при отправке, в поле From будет показываться настоящий отправитель письма (тот, кому выдали права отправлять).

Full Access — не дают прав на отправку от имени ящика. Эти права дают доступ на чтение почты ящика и управление настройками ящика.

То есть, если вас просят выдать полные права на ящик, чтобы могли читать почту и отправлять письма — необходимо выдавать права Full Access и Send As.

Выдавать права можно через ECP консоль, добавляя через плюсик пользователей, которым выдаём права:


image-29.png
(важный момент мы заходим в ящик к которому хотим предоставить доступ и плюсиком добавляем ящик который будет иметь право)

ПРЕДОСТАВЛЕНИЕ ПРАВ НА ПОЧТОВЫЙ ЯЩИК В EXCHANGE MANAGEMENT SHELL

Помимо GUI, права на ящик можно выдать через Exchange Management Shell. Это может быть актуально в различных сценариях.  Ниже приведу несколько примеров выдачи полных прав, прав на отправку и только на чтение. В общем виде команда на выдачу полных прав выглядит так:


Add-MailboxPermission -Identity a.ivanov@linuxshop.ru -user b.petrov@linuxshop.ru -AccessRights FullAccess -AutoMapping:$true -InheritanceType All

Так мы дадим пользователю b.petrov@linuxshop.ru права на почтовый ящик пользователя a.ivanov@linuxshop.ru .
Параметр -AutoMapping:$true разрешит автоматическое подключение ящика в Outlook.
Параметр -InheritanceType All позволяет указывать, будут ли разрешения наследоваться папками в почтовом ящике.

Права на отправку Send As

Add-ADPermission -Identity a.ivanov@linuxshop.ru -User b.petrov@linuxshop.ru -AccessRights ExtendedRight -ExtendedRights "Send As"

В этом примере пользователю b.petrov@linuxshop.ru предоставляются разрешения "Отправить как" для почтового ящика пользователя a.ivanov@linuxshop.ru

Отключение автомаппинга почтового ящика

Немного подробнее рассмотрим первый случай (подключение ящика внутри одного домена). Для того, чтобы почтовый ящик не появлялся у пользователя автоматически, нужно добавить в команду ключ: -AutoMapping $false В общем виде команда получится такой:

Add-MailboxPermission -Identity a.ivanov -user b.petrov -AccessRights FullAccess -InheritanceType All -AutoMapping $false

В отсутствии автомаппинга есть своя прелесть: если вы дадите права на почтовый ящик без автоподключения, то можно вручную добавить почтовый ящик как вторую учетную запись — тогда все отправленные письма будут оставаться в добавленном ящике. В противном случае (если подключить его по умолчанию, с автомаппингом) отправленные письма будут сохраняться в основном ящике пользователя.

Лишить пользователя доступа к почтовому ящику:

Remove-MailboxPermission -identity a.ivanov -accessrights:fullaccess -user b.petrov@linuxshop.ru

Удалить для пользователя права SendAs на все ящики в организации:

Get-Recipient | Remove-RecipientPermission -AccessRights SendAs –Trustee b.petrov@linuxshop.ru

Cписок пользователей, у которых есть права на указанный ящик

get-mailboxpermission -identity a.ivanov@linuxshop.ru |ft -AutoSize

Cписок пользователей, к которым указанный ящик имеет права

Get-Mailbox -ResultSize Unlimited | Get-MailboxPermission -User "HenriettaM" | ft User,Identity,AccessRights

Получить полный отчет со списком пользователей, у которых есть права FullAccess на любые другие ящики в тенанте (организации) Exchange:

Get-Mailbox|Get-MailboxPermission | where {($_.AccessRights -like 'Full*') -and ($_.User -notlike "nt authority\self")} | Format-Table -Auto User,Deny,IsInherited,AccessRights

Выдача прав только на чтение

Немного другой тип прав, когда выдаются права на папки (календарь, задачи, входящие), при этом ящик не подключается как ящик в outlook через добавление добавить ящик, а подключается в outlook через Параметры учетной записи Exchange -> Друние параметры -> Дополнительно (открыть дополнительные п/я)

Доступ к ящику a.ivanov только для чтения на уровне папок

Add-MailboxFolderPermission -Identity a.ivanov -user b.petrov -AccessRights reviewer

Доступ к папке a.ivanov (входящие) только для чтения

Add-MailboxFolderPermission -Identity "a.ivanov:\Inbox" -User b.petrov -AccessRights Reviewer

Получить список ящиков которым разрешен доступ к папкам

Get-MailboxFolderPermission -identity a.ivanov | ft -AutoSize


Более подробно с примерами и описанием все параметров можно прочитать тут: Add-MailboxPermission

< Назад к списку новостей