Права на почтовый ящик

Права на почтовый ящик можно посмотреть с помощью двух командлетов

  • Get-MailboxPermission
  • Get-ADPermission

Get-MailboxPermission

  • Работает с правами на сам почтовый ящик в базе Exchange (Information Store).
  • Определяет, кто может открывать ящик и работать с его содержимым.
  • Типичные права:
    • FullAccess — полный доступ.
    • DeleteItem — удаление элементов.
    • ReadPermission — просмотр ACL.
    • ChangePermission / ChangeOwner — изменение делегирования.

Get-ADPermission

  • Работает с правами на объект почтового ящика в Active Directory.
  • Определяет, кто может делегировать администрирование или выполнять действия в AD/Exchange.
  • Типичные права:
    • Send As — отправка писем как владелец.
    • Receive As — приём писем как владелец (обычно на БД).
    • User-Change-Password / Reset Password — смена или сброс пароля.
    • ms-Exch-Store-Admin и другие расширенные права.

Сравнительная таблица

Критерий Get-MailboxPermission Get-ADPermission
Уровень База Exchange (Information Store) Active Directory (объект пользователя/почтового ящика)
Что регулирует Доступ к содержимому почтового ящика Делегирование действий над объектом в AD
Типичные права FullAccess, DeleteItem, ChangeOwner Send As, Receive As, User-Change-Password
Где применяются Outlook, OWA, ActiveSync AD, Transport, делегирование администрирования
Видимость в ECP Только Full Access Только Send As и Send on Behalf

Вывод

  • Get-MailboxPermission — показывает, кто может открыть чужой ящик и работать с письмами.
  • Get-ADPermission — показывает, кто может отправлять письма как пользователь, менять пароль или администрировать объект в AD.

Соответствие прав в Exchange

PowerShell (`Get-MailboxPermission`) Что это значит Как отображается в ECP/EAC
FullAccess Полный доступ к ящику (чтение, создание, удаление писем, работа с папками) ✅ Отображается как Full Access
SendAs (через `Get-ADPermission`) Отправка писем как владелец ящика ✅ Отображается как Send As
SendOnBehalf (через `Set-Mailbox`) Отправка писем "от имени" ✅ Отображается как Send on Behalf
DeleteItem Удаление элементов ❌ Не отображается в ECP
ReadPermission Чтение ACL (просмотр прав) ❌ Не отображается в ECP
ChangePermission Изменение прав других пользователей на ящик ❌ Не отображается в ECP
ChangeOwner Изменение владельца объекта ❌ Не отображается в ECP

Вывод

В консоли ECP/EAC отображаются только три типа прав:

  • Full Access
  • Send As
  • Send on Behalf

Все остальные детализированные права (`DeleteItem`, `ReadPermission`, `ChangePermission`, `ChangeOwner`) видны только через PowerShell (`Get-MailboxPermission`, `Get-ADPermission`) и в ECP/EAC не показываются.

Когда появляются нестандартные права

Такие права в ACL могут появляться в следующих случаях:

  • После миграции почтовых ящиков из старых версий Exchange или сторонних систем.
  • Когда права назначались напрямую через Active Directory (например, через вкладку Security в ADSI Edit или вручную администратором).
  • При использовании сторонних скриптов/инструментов, которые изменяют ACL объекта ящика.
  • В результате наследования прав от контейнеров AD (организационные единицы, групповые политики безопасности).
  • В редких случаях — как "хвосты" после удаления или изменения делегатов.
⚠️ Важно: Наличие `DeleteItem`, `ChangeOwner` и подобных прав не всегда критично, но для «чистого» администрирования Exchange лучше опираться только на поддерживаемые сценарии: *Full Access*, *Send As*, *Send on Behalf*.

Нестандартные права (не видны в ECP/EAC)

1) Права из Get-MailboxPermission (кроме FullAccess)

Показываем только детальные ACL-права на сам ящик: DeleteItem, ReadPermission, ChangePermission, ChangeOwner. 

# Замените user@domain на нужный ящик
Get-MailboxPermission -Identity user@domain |
  Where-Object {
      -not $_.IsInherited -and
      $_.User -notin 'NT AUTHORITY\SELF','NT AUTHORITY\SYSTEM','S-1-5-32-544','S-1-5-18' -and
      ($_.AccessRights -match 'DeleteItem|ReadPermission|ChangePermission|ChangeOwner')
  } |
  Select-Object Identity, User, Deny, AccessRights, InheritanceType |
  Format-Table -Auto

Пояснения:

  • Исключаем наследованные ACE (`-not $_.IsInherited`).
  • Фильтруем «системных» субъектов (SELF, SYSTEM, локальные SID’ы).
  • Оставляем только те права, которых нет в ECP: DeleteItem, ReadPermission, ChangePermission, ChangeOwner.

2) Права из Get-ADPermission (кроме Send As / Send on Behalf)

Показываем расширенные права на объекте пользователя в AD, которые не видны в ECP. 

# DistinguishedName почтового ящика
$dn = (Get-Mailbox -Identity user@domain).DistinguishedName
 
Get-ADPermission -Identity $dn |
  Where-Object {
      -not $_.IsInherited -and
      $_.ExtendedRights -and
      $_.User -notin 'NT AUTHORITY\SELF','NT AUTHORITY\SYSTEM' -and
      # Исключаем то, что видно в ECP/EAC:
      ($_.ExtendedRights -notcontains 'Send-As') -and
      ($_.ExtendedRights -notcontains 'Send on behalf') -and
      ($_.ExtendedRights -notcontains 'ms-Exch-Send-As') # встречается в старых средах
  } |
  Select-Object ObjectDN, User, Deny, @{n='ExtendedRights';e={$_.ExtendedRights -join ','}}, InheritanceType |
  Format-Table -Wrap

Примечание:

  • Здесь «нестандартные» — всё, что не Send As / Send on Behalf (их ECP показывает), но попадает в ExtendedRights.

3) Функция: единый отчёт по «не-ECP» правам

function Get-NonEcpMailboxAcls {
    [CmdletBinding()]
    param(
        [Parameter(Mandatory)]
        [string]$Identity
    )
 
    $mailbox = Get-Mailbox -Identity $Identity -ErrorAction Stop
    $dn = $mailbox.DistinguishedName
 
    $systemUsers = @('NT AUTHORITY\SELF','NT AUTHORITY\SYSTEM','S-1-5-32-544','S-1-5-18')
 
    $aclMailbox = Get-MailboxPermission -Identity $mailbox.Identity | Where-Object {
        -not $_.IsInherited -and
        $_.User -notin $systemUsers -and
        ($_.AccessRights -match 'DeleteItem|ReadPermission|ChangePermission|ChangeOwner')
    } | Select-Object @{n='Scope';e={'MailboxPermission'}},
                     @{n='Target';e={$mailbox.Identity}},
                     User, Deny, @{n='Right';e={($_.AccessRights -join ',')}}, InheritanceType
 
    $aclAd = Get-ADPermission -Identity $dn | Where-Object {
        -not $_.IsInherited -and
        $_.ExtendedRights -and
        $_.User -notin $systemUsers -and
        ($_.ExtendedRights -notcontains 'Send-As') -and
        ($_.ExtendedRights -notcontains 'ms-Exch-Send-As') -and
        ($_.ExtendedRights -notcontains 'Send on behalf')
    } | Select-Object @{n='Scope';e={'ADPermission'}},
                      @{n='Target';e={$dn}},
                      User, Deny, @{n='Right';e={($_.ExtendedRights -join ',')}}, InheritanceType
 
    $result = @($aclMailbox + $aclAd)
    if ($result.Count -eq 0) {
        Write-Host "Не найдено нестандартных прав, не отображаемых в ECP/EAC." -ForegroundColor Green
    } else {
        $result | Sort-Object Scope, User | Format-Table -Auto
    }
}

4) Подсказки

  • Если видите неожиданные права — проверьте, не пришли ли они после миграции/скриптов/наследования.
  • Права Receive As (на БД/сервер) в ECP у конкретного ящика не показываются — их проверяйте на объекте БД/сервера.