Предоставление прав на дополнительный почтовый ящик в Microsoft Exchange
Предоставление прав на дополнительный почтовый ящик в Microsoft Exchange
В Microsoft Exchange можно выдать права Full Access, Send As и Send on Behalf.
Send As — дают права отправлять от адреса ящика другому пользователю.
Send on Behalf — права, аналогичные Send As, но при отправке, в поле From будет показываться настоящий отправитель письма (тот, кому выдали права отправлять).
Full Access — не дают прав на отправку от имени ящика. Эти права дают доступ на чтение почты ящика и управление настройками ящика.
То есть, если вас просят выдать полные права на ящик, чтобы могли читать почту и отправлять письма — необходимо выдавать права Full Access и Send As.
Выдавать права можно через ECP консоль, добавляя через плюсик пользователей, которым выдаём права:

(важный момент мы заходим в ящик к которому хотим предоставить доступ и плюсиком добавляем ящик который будет иметь право)
ПРЕДОСТАВЛЕНИЕ ПРАВ НА ПОЧТОВЫЙ ЯЩИК В EXCHANGE MANAGEMENT SHELL
Помимо GUI, права на ящик можно выдать через Exchange Management Shell. Это может быть актуально в различных сценариях. Ниже приведу несколько примеров выдачи полных прав, прав на отправку и только на чтение. В общем виде команда на выдачу полных прав выглядит так:
Add-MailboxPermission -Identity a.ivanov@linuxshop.ru -user b.petrov@linuxshop.ru -AccessRights FullAccess -AutoMapping:$true -InheritanceType All
Так мы дадим пользователю b.petrov@linuxshop.ru права на почтовый ящик пользователя a.ivanov@linuxshop.ru .
Параметр -AutoMapping:$true разрешит автоматическое подключение ящика в Outlook.
Параметр -InheritanceType All позволяет указывать, будут ли разрешения наследоваться папками в почтовом ящике.
Права на отправку Send As
Add-ADPermission -Identity a.ivanov@linuxshop.ru -User b.petrov@linuxshop.ru -AccessRights ExtendedRight -ExtendedRights "Send As"
В этом примере пользователю b.petrov@linuxshop.ru предоставляются разрешения "Отправить как" для почтового ящика пользователя a.ivanov@linuxshop.ru
Отключение автомаппинга почтового ящика
Немного подробнее рассмотрим первый случай (подключение ящика внутри одного домена). Для того, чтобы почтовый ящик не появлялся у пользователя автоматически, нужно добавить в команду ключ: -AutoMapping $false В общем виде команда получится такой:
Add-MailboxPermission -Identity a.ivanov -user b.petrov -AccessRights FullAccess -InheritanceType All -AutoMapping $false
В отсутствии автомаппинга есть своя прелесть: если вы дадите права на почтовый ящик без автоподключения, то можно вручную добавить почтовый ящик как вторую учетную запись — тогда все отправленные письма будут оставаться в добавленном ящике. В противном случае (если подключить его по умолчанию, с автомаппингом) отправленные письма будут сохраняться в основном ящике пользователя.
Лишить пользователя доступа к почтовому ящику:
Remove-MailboxPermission -identity
a.ivanov
-accessrights:fullaccess -user b.petrov@linuxshop.ru
Удалить для пользователя права SendAs на все ящики в организации:
Get-Recipient | Remove-RecipientPermission -AccessRights SendAs –Trustee b.petrov@linuxshop.ru
Cписок пользователей, у которых есть права на указанный ящик
get-mailboxpermission -identity a.ivanov@linuxshop.ru |ft -AutoSize
Cписок пользователей, к которым указанный ящик имеет права
Get-Mailbox -ResultSize Unlimited | Get-MailboxPermission -User "HenriettaM" | ft User,Identity,AccessRights
Получить полный отчет со списком пользователей, у которых есть права FullAccess на любые другие ящики в тенанте (организации) Exchange:
Get-Mailbox|Get-MailboxPermission | where {($_.AccessRights -like 'Full*') -and ($_.User -notlike "nt authority\self")} | Format-Table -Auto User,Deny,IsInherited,AccessRights
Выдача прав только на чтение
Немного другой тип прав, когда выдаются права на папки (календарь, задачи, входящие), при этом ящик не подключается как ящик в outlook через добавление добавить ящик, а подключается в outlook через Параметры учетной записи Exchange -> Друние параметры -> Дополнительно (открыть дополнительные п/я)
Доступ к ящику a.ivanov только для чтения на уровне папок
Add-MailboxFolderPermission -Identity a.ivanov -user b.petrov -AccessRights reviewer
Доступ к папке a.ivanov (входящие) только для чтения
Add-MailboxFolderPermission -Identity "a.ivanov:\Inbox" -User b.petrov -AccessRights Reviewer
Получить список ящиков которым разрешен доступ к папкам
Get-MailboxFolderPermission -identity a.ivanov | ft -AutoSize
Более подробно с примерами и описанием все параметров можно прочитать тут: Add-MailboxPermission