我正在将学校域从 Exchange 2016 迁移到 Exchange Online(完全混合)。我注意到在 Web 上的 Outlook 中,用户可以右键单击他们的收件箱(或任何其他邮箱文件夹),单击“权限”并授予其他用户对其文件夹的读写权限。我想阻止学生访问此功能,或者至少阻止他们添加权限/共享他们的文件夹(即只读访问权限)。不幸的是,学生偶尔喜欢尝试删除彼此的工作等,所以我认为最好不要让他们拥有文件夹权限。
根据我的研究,我发现 Owa 邮箱策略未涵盖的任何内容都可以使用 RBAC 进行控制(即基于角色的访问控制)。因此,我设置并分配了一项策略给测试账户,并删除了对Add-MailboxFolderPermission
、Remove-MailboxFolderPermission
和Set-MailboxFolderPermission
cmdlet 的访问权限,如下所示。
Connect-ExchangeOnline
New-ManagementRole -Name "MyBaseOptions-ForPupils" -Parent "MyBaseOptions"
New-RoleAssignmentPolicy -Name "Test Pupil Role" -Roles "MyBaseOptions-ForPupils", "MyMailSubscriptions"
Get-Mailbox -Identity [email protected] | Set-Mailbox -RoleAssignmentPolicy "Test Pupil Role"
Remove-ManagementRoleEntry -Identity "MyBaseOptions-ForPupils\Add-MailboxFolderPermission"
Remove-ManagementRoleEntry -Identity "MyBaseOptions-ForPupils\Set-MailboxFolderPermission
Remove-ManagementRoleEntry -Identity "MyBaseOptions-ForPupils\Remove-MailboxFolderPermission"
这不起作用,所以我还尝试删除以下 cmdlet,看看它是否会完全删除对权限功能的访问权限,但不确定这是否会导致任何问题。
Remove-ManagementRoleEntry -Identity "MyBaseOptions-ForPupils\Get-MailboxFolderPermission"
Remove-ManagementRoleEntry -Identity "MyBaseOptions-ForPupils\Get-EXOMailboxFolderPermission"
我没有发现任何问题,但该功能仍然可以访问,测试帐户仍然可以添加、编辑和删除文件夹权限。我已检查我删除的 cmdlet 不在角色中MyMailSubscriptions
(我也将其分配给测试帐户),并且确实不在。
作为测试,我运行了以下命令,几分钟后自动回复设置从 UI 中消失,因此该策略肯定已应用。
Remove-ManagementRoleEntry -Identity "MyBaseOptions-ForPupils\Get-MailboxAutoReplyConfiguration"
Remove-ManagementRoleEntry -Identity "MyBaseOptions-ForPupils\Set-MailboxAutoReplyConfiguration"
我还以测试帐户 Ie 的身份对 PowerShell 进行了身份验证,并确认该帐户是Connect-ExchangeOnline -UserPrincipalName [email protected]
不是能够访问我删除的 cmdlet。
有人能告诉我如何实现这个功能吗,或者是否有可能实现?
编辑:
回应 Ivan_Wang 的回答。您要求我运行的命令返回一个转换Identity
为 的错误RoleEntryIdParameter
。我自己检查的方法是运行:
Get-ManagementRoleEntry "MyBaseOptions-ForPupils\*" | where { $_.Name -like "*MailboxFolderPermission*" }
它什么也没返回。如果我稍微扩大查询范围,*MailboxFolder*
我得到:
Get-ManagementRoleEntry "MyBaseOptions-ForPupils\*" | where { $_.Name -like "*MailboxFolder*" } | ft Name
Name
----
Get-MailboxFolder
New-MailboxFolder
还尝试过*Permission*
:
Get-ManagementRoleEntry "MyBaseOptions-ForPupils\*" | where { $_.Name -like "*Permission*" } | ft Name
Name
----
Get-SenderPermission
希望这能回答你的问题。至于你的第二个问题,我只勾选了儿童角色,如下所示:
答案1
- 如果运行以下命令来检查自定义角色是否仍然具有角色条目,结果会怎样
MailboxFolderPermission
?
Get-ManagementRole "MyBaseOptions-ForPupils" | Get-ManagementRoleEntry | where{$_.Name -like "*MailboxFolderPermission*"}
- 您是否选择了具有子角色的父角色MyBaseOptions-ForPupils?
“如果选中具有子角色的角色的复选框,则子角色的复选框也会被选中。如果清除具有子角色的角色的复选框,则子角色的复选框也会被清除。“。来源