Get-MailboxPermission

Dieses Cmdlet ist der lokalen Bereitstellung von Exchange und im cloudbasierten Dienst verfügbar. Einige Parameter und Einstellungen gelten exklusiv für die eine oder andere Umgebung.

Verwenden Sie das Cmdlet Get-MailboxPermission, um die Berechtigungen für ein Postfach abzurufen.

Hinweis: In Exchange Online PowerShell wird empfohlen, anstelle dieses Cmdlets das Cmdlet Get-EXOMailboxPermission zu verwenden. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell.

Informationen zu den Parametersätzen im Abschnitt zur Syntax weiter unten finden Sie unter Syntax der Exchange-Cmdlets.

Syntax

Get-MailboxPermission
   [-Identity] <MailboxIdParameter>
   [-Owner]
   [-Credential <PSCredential>]
   [-DomainController <Fqdn>]
   [-GroupMailbox]
   [-ReadFromDomainController]
   [-ResultSize <Unlimited>]
   [<CommonParameters>]
Get-MailboxPermission
   [-Identity] <MailboxIdParameter>
   [-User <SecurityPrincipalIdParameter>]
   [-SoftDeletedMailbox]
   [-Credential <PSCredential>]
   [-DomainController <Fqdn>]
   [-GroupMailbox]
   [-IncludeSoftDeletedUserPermissions]
   [-IncludeUnresolvedPermissions]
   [-ReadFromDomainController]
   [-ResultSize <Unlimited>]
   [<CommonParameters>]

Beschreibung

Die Ausgabe dieses Cmdlets enthält die folgenden Informationen:

  • Identität: Das betroffene Postfach.
  • Benutzer: Der Sicherheitsprinzipal (Benutzer, Sicherheitsgruppe, Exchange-Verwaltungsrollengruppe usw.), der über die Berechtigung für das Postfach verfügt.
  • AccessRights: Die Berechtigung, die der Sicherheitsprinzipal für das Postfach besitzt. Die verfügbaren Werte sind ChangeOwner (Ändern des Besitzers des Postfachs), ChangePermission (Ändern der Berechtigungen für das Postfach), DeleteItem (Löschen des Postfachs), ExternalAccount (gibt an, dass sich das Konto nicht in derselben Domäne befindet), FullAccess (öffnen Sie das Postfach, greifen Sie auf dessen Inhalt zu, kann aber keine E-Mail senden) und ReadPermission (lesen Sie die Berechtigungen für das Postfach). Ob die Berechtigungen zugelassen oder verweigert werden, wird in der Spalte Deny angezeigt.
  • IsInherited: Gibt an, ob die Berechtigung geerbt (True) oder direkt dem Postfach zugewiesen (False) wurde. Berechtigungen werden von der Postfachdatenbank und/oder Active Directory geerbt. In der Regel setzen direkt zugewiesene Berechtigungen geerbte Berechtigungen außer Kraft.
  • Deny: Gibt an, ob die Berechtigung zugelassen (False) oder abgelehnt wurde (True). In der Regel wird „Berechtigungen zulassen“ von „Berechtigungen ablehnen“ außer Kraft gesetzt.

Standardmäßig werden die folgenden Berechtigungen Benutzerpostfächern zugewiesen:

  • FullAccess und ReadPermission werden direkt NT AUTHORITY\SELF zugewiesen. Dieser Eintrag weist dem eigenen Postfach eine Benutzerberechtigung zu.
  • FullAccess wird für Administratoren, Domänenadministratoren, Unternehmensadministratoren und Organisationsverwaltung verweigert. Diese geerbten Berechtigungen verhindern, dass diese Benutzer und Gruppenmitglieder Postfächer anderer Benutzer öffnen.
  • ChangeOwner, ChangePermission, DeleteItem und ReadPermission sind für Administratoren, Domänenadministratoren, Unternehmensadministratoren und Organisationsverwaltung zulässig. Beachten Sie, dass diese geerbten Berechtigungseinträge auch FullAccess zulassen. Diese Benutzer und Gruppen verfügen jedoch nicht über FullAccess auf das Postfach, da die geerbten Verweigerungsberechtigungseinträge die geerbten Berechtigungseinträge außer Kraft setzen.
  • FullAccess wird vererbt von NT AUTHORITY\SYSTEM und ReadPermission wird vererbt von NT AUTHORITY\NETWORK.
  • FullAccess und ReadPermission werden von Exchange-Servern geerbt, ChangeOwner, ChangePermission, DeleteItem und ReadPermission werden vom vertrauenswürdigen Exchange-Subsystem geerbt, und ReadPermission wird von verwalteten Verfügbarkeitsservern geerbt.

Standardmäßig erben andere Sicherheitsgruppen und Rollengruppen Berechtigungen an Postfächer basierend auf ihrem Standort (lokales Exchange oder Microsoft 365).

Bevor Sie dieses Cmdlet ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Auch wenn in diesem Thema alle Parameter für das Cmdlet aufgeführt werden, verfügen Sie möglicherweise nicht über den Zugriff auf einige Parameter, wenn sie nicht in den Ihnen zugewiesenen Berechtigungen enthalten sind. Wie Sie herausfinden, welche Berechtigungen zur Ausführung eines bestimmten Cmdlets oder Parameters in Ihrer Organisation erforderlich sind, können Sie unter Find the permissions required to run any Exchange cmdlet nachlesen.

Beispiele

Beispiel 1

Get-MailboxPermission -Identity john@contoso.com | Format-List

In diesem Beispiel werden Berechtigungen für das Postfach anhand seiner SMTP-Adresse john@contoso.comzurückgegeben.

Beispiel 2

Get-MailboxPermission -Identity john@contoso.com -User "Ayla"

In diesem Beispiel werden die Berechtigungen zurückgegeben, die der Benutzer "Ayla" für Johns Postfach hat.

Beispiel 3

Get-MailboxPermission -Identity Room222 -Owner

In diesem Beispiel werden die Besitzerinformationen für das Ressourcenpostfach "Room222" zurückgegeben.

Parameter

-Credential

Der Parameter Credential gibt den Benutzernamen und das Kennwort an, die zum Ausführen dieses Befehls verwendet werden. Normalerweise verwenden Sie diesen Parameter in Skripts oder wenn Sie unterschiedliche Anmeldeinformationen bereitstellen müssen, die über die erforderlichen Berechtigungen verfügen.

Ein Wert für diesen Parameter setzt das Cmdlet "Get-Credential" voraus. Verwenden Sie den Wert (Get-Credential), um diesen Befehl anzuhalten und eine Aufforderung zur Eingabe von Anmeldeinformationen zu erhalten. Oder speichern Sie die Anmeldeinformationen in einer Variablen (beispielsweise $cred = Get-Credential), bevor Sie diesen Befehl ausführen, und verwenden Sie dann den Variablennamen ($cred) für diesen Parameter. Weitere Informationen finden Sie unter Get-Credential.

Type:PSCredential
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-DomainController

Dieser Parameter ist im lokalen Exchange verfügbar.

Der Parameter "DomainController" gibt den Domänencontroller an, der von diesem Cmdlet verwendet wird, um aus Active Directory Daten zu lesen oder hineinzuschreiben. Der Domänencontroller kann anhand seines vollqualifizierten Domänennamens (Fully Qualified Domain Name, FQDN) ermittelt werden. Beispiel: dc01.contoso.com.

Type:Fqdn
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-GroupMailbox

Dieser Parameter ist nur im cloudbasierten Dienst verfügbar.

Der GroupMailbox-Switch ist erforderlich, um Microsoft 365-Gruppen in den Ergebnissen zurückzugeben. Sie müssen keinen Wert für diese Option angeben.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online

-Identity

Der Parameter Identity gibt das Postfach an, das Sie anzeigen möchten. Sie können jeden beliebigen Wert verwenden, sofern er das Postfach eindeutig kennzeichnet. Beispiel:

  • Name
  • Alias
  • Distinguished Name (DN)
  • Distinguished Name (DN)
  • Domäne\benutzername
  • E-Mail-Adresse
  • GUID
  • LegacyExchangeDN
  • SamAccountName
  • Benutzer-ID oder User Principal Name (UPN)
Type:MailboxIdParameter
Position:1
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-IncludeSoftDeletedUserPermissions

Dieser Parameter ist nur im cloudbasierten Dienst verfügbar.

Der IncludeSoftDeletedUserPermissions-Schalter gibt Berechtigungen von vorläufig gelöschten Postfachbenutzern in den Ergebnissen zurück. Sie müssen keinen Wert für diese Option angeben.

Vorläufig gelöschte Postfächer sind Postfächer, die gelöscht wurden, aber weiterhin wiederherstellbar sind.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online

-IncludeUnresolvedPermissions

Dieser Parameter ist nur im cloudbasierten Dienst verfügbar.

Der IncludeUnresolvedPermissions-Schalter gibt in den Ergebnissen nicht aufgelöste Berechtigungen zurück. Sie müssen keinen Wert für diese Option angeben.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online

-Owner

Die Option Besitzer gibt die Besitzerinformationen für das Postfach zurück, das durch den Identity-Parameter angegeben wird. Sie müssen bei dieser Option keinen Wert angeben.

Sie können diesen Schalter nicht mit dem Parameter User verwenden.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-ReadFromDomainController

Die Option ReadFromDomainController gibt an, dass Informationen von einem Domänencontroller in der Domäne des Benutzers gelesen werden sollen. Sie müssen keinen Wert für diese Option angeben.

Der Befehl Set-AdServerSettings -ViewEntireForest $true zum Einschließen aller Objekte in der Gesamtstruktur erfordert den ReadFromDomainController-Switch. Andernfalls könnte der Befehl einen globalen Katalog verwenden, der veraltete Informationen enthält. Außerdem müssen Sie möglicherweise mehrere Iterationen des Befehls mit dem ReadFromDomainController-Switch ausführen, um die Informationen abzurufen.

Standardmäßig ist der Empfängerbereich auf die Domäne festgelegt, in der sich Ihre Exchange-Server befinden.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-ResultSize

Der ResultSize-Parameter gibt die maximale Anzahl von zurückzugebenden Ergebnissen an. Wenn Sie alle Anforderungen zurückgeben möchten, die der Abfrage entsprechen, verwenden Sie unlimited als Wert für diesen Parameter. Der Standardwert ist 1000.

Type:Unlimited
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-SoftDeletedMailbox

Dieser Parameter ist nur im cloudbasierten Dienst verfügbar.

Die Option SoftDeletedMailbox ist erforderlich, um vorläufig gelöschte Postfächer in den Ergebnissen zurückzugeben. Sie müssen keinen Wert für diese Option angeben.

Vorläufig gelöschte Postfächer sind gelöschte Postfächer, die noch wiederhergestellt werden können.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online

-User

Der Parameter User filtert die Ergebnisse danach, wer über Berechtigungen für das Postfach verfügt, das durch den Identity-Parameter angegeben wird. Sie können die folgenden Typen von Benutzern oder Gruppen (Sicherheitsprinzipale) für diesen Parameter angeben:

  • Postfachbenutzer
  • E-Mail-Benutzer
  • Sicherheitsgruppen

Sie können einen beliebigen Wert verwenden, der den Benutzer oder die Gruppe eindeutig identifiziert. Beispiel:

  • Name
  • Alias
  • Distinguished Name (DN)
  • Distinguished Name (DN)
  • Domäne\benutzername
  • E-Mail-Adresse
  • GUID
  • LegacyExchangeDN
  • SamAccountName
  • Benutzer-ID oder User Principal Name (UPN)

Sie können diesen Parameter nicht mit dem Schalter Besitzer verwenden.

Type:SecurityPrincipalIdParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

Eingaben

Input types

Eingabetypen, die dieses Cmdlet akzeptiert, finden Sie unter Eingabe- und Ausgabetypen für Cmdlets. Wenn das Feld mit dem Eingabetyp für ein Cmdlet leer ist, akzeptiert das Cmdlet diese Eingabedaten nicht.

Ausgaben

Output types

Informationen zu den Rückgabetypen, die auch als Ausgabetypen bezeichnet werden, die dieses Cmdlet akzeptiert, finden Sie unter Cmdlet Input and Output Types. Wenn das Feld Ausgabetyp leer ist, gibt das Cmdlet keine Daten zurück.