So erhalten Sie einen Bericht über die Berechtigungen von Exchange Online-Postfächern mit PowerShell oder Netwrix Auditor
Netwrix Auditor for Exchange
Starten Sie Netwrix Auditor → Klicken Sie auf "Berichte" → wählen Sie Exchange Online → Zustandsberichte → Wählen Sie "Details zu Berechtigungen von Nicht-Besitzern von Postfächern" → klicken Sie auf "Anzeigen".
Native Solution
1. Verbinden Sie sich mit Office 365 PowerShell, indem Sie die PowerShell ISE als Administrator ausführen und den folgenden Befehl ausführen:
Set-ExecutionPolicy RemoteSigned
2. Fordern Sie Windows PowerShell-Anmeldeinformationen an, indem Sie den folgenden Befehl ausführen:
$Cred = Get-Credential
Geben Sie Ihr Konto und Passwort ein und dann klicken Sie auf OK.
3. Erstellen Sie eine Sitzung mit dem folgenden Befehl, indem Sie den –ConnectionUri Parameter basierend auf Ihrem Exchange Online Standort anpassen:
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/PowerShell-liveid/ -Credential$Cred -Authentication Basic –AllowRedirection
4. Verbinden Sie sich mit Exchange Online:
Import-PSSession$Session -DisableNameChecking
5. Erstellen Sie einen Bericht über Benutzerberechtigungen, führen Sie eine der folgenden Aktionen durch:
- Um eine vollständige Zusammenfassung der Benutzerberechtigungen zu erhalten, verwenden Sie den folgenden Get-Mailbox-Befehl:
Get-Mailbox -resultsize unlimited | Get-MailboxPermission | Select Identity, User, Deny, AccessRights, IsInherited| Export-Csv -Path "c:\temp\mailboxpermissions.csv" –NoTypeInformation
- Wenn Sie einen Bericht über einen bestimmten Benutzer benötigen, verwenden Sie den Parameter -identity anstelle von -resultsize unlimited.
- Um Benutzer zu filtern, die über vollen Zugriff verfügen, verwenden Sie den Parameter where {($_.accessrights -contains "FullAccess")}:
Get-Mailbox -resultsize unlimited | Get-MailboxPermission| where {($_.accessrights -contains "Fullaccess")} | Select AccessRights,Deny,InheritanceType,User,Identity,IsInherited | Export-Csv -Path "c:\temp\fullaccess.csv" -NoTypeInformation
- Standardmäßig erhalten Sie eine vollständige Liste der Benutzer, einschließlich des Zugriffs von Nicht-Besitzern. Um Informationen nur über direkte Benutzerberechtigungen zu erhalten, verwenden Sie entweder {($_.user -ne "NT AUTHORITY\SELF")} oder {($_.user -like '*@*')}:
Get-Mailbox -resultsize unlimited | Get-MailboxPermission | Select Identity, User, Deny, AccessRights, IsInherited| Where {($_.user -ne "NT AUTHORITY\SELF")}| Export-Csv -Path "c:\temp\NonOwnerPermissions.csv" -NoTypeInformation
- Um Informationen über „Send As“-Berechtigungen anzuzeigen, verwenden Sie das Cmdlet Get-RecipientPermission:
Get-Mailbox -resultsize unlimited | Get-RecipientPermission| where {($_.trustee -ne "NT AUTHORITY\SELF")}|select Identity,Trustee,AccessControlType,AccessRights,IsInherited | Export-Csv -Path "c:\temp\sendaspermissions.csv" –NoTypeInformation
- Um über Postfächer mit der Berechtigung „Im Auftrag senden“ zu berichten, verwenden Sie das folgende Skript:
$GrantSendOn= Get-Mailbox-resultsize unlimited| where {($_.GrantSendOnBehalfTo -ne "")}
$Out=foreach ($user in $GrantSendOn.GrantSendOnBehalfTo) {
$obj= New-Object System.Object
$obj|Add-MemberNoteProperty eMail$GrantSendOn.WindowsEmailAddress
$obj|Add-Member NoteProperty DisplayName $GrantSendOn.DisplayName
$obj|Add-Member NoteProperty User $user
$obj }
$Out| Export-Csv -Path "c:\temp\sendonbehalfpermissions.csv" –NoTypeInformation
6. Prüfbericht:
7. Beenden Sie Ihre Sitzung mit dem folgenden Befehl:
Remove-PSSession$Session
Teilen auf