Het achterhalen wie toegang heeft tot wat in uw Exchange Server- of Microsoft 365-omgeving kan soms een behoorlijke uitdaging zijn. Als u de machtigingen van postvakken wilt controleren – bijvoorbeeld om te bevestigen of iemand volledige toegang of ‘Verzenden als’-rechten heeft – zijn PowerShell-scripts meestal de beste oplossing. Het is misschien wat vreemd, maar ze geven u snel een duidelijk beeld. Het instellen van deze scripts kan echter snel ingewikkeld worden, vooral bij grote organisaties of met meerdere soorten postvakken. Daarom volgt hier een overzicht van enkele praktische scripts die u kunt uitvoeren – dit zijn de scripts die ik zelf heb gebruikt en die daadwerkelijk helpen bij het achterhalen van postvakmachtigingen, ook al zijn ze misschien wat omslachtig of traag in grote omgevingen.
Nog een opmerking: als je machtigingen wilt instellen voor specifieke mappen (zoals alleen de Agenda of Postvak IN), is dat een ander verhaal. Maar geen zorgen, dezelfde PowerShell-aanpak kan worden aangepast. Het is niet perfect, maar het is beter dan urenlang in het beheerdersportaal te moeten klikken.
Hoe vind ik de postvakken waartoe een gebruiker toegang heeft in Exchange of Microsoft 365?
Gebruik Get-MailboxPermission voor volledige toegangsrechten.
Laten we beginnen met de basis. Je wilt zien wie toegang heeft tot specifieke mailboxen. Het belangrijkste commando is `exchange` Get-MailboxPermission. Het is eenvoudig, maar je moet wel verbinding maken met je Exchange-omgeving (lokaal of online).Waarom is dit handig? Omdat het de directe machtigingen ophaalt, niet alleen groepslidmaatschappen. Je krijgt snel een overzicht of iemand volledige controle of alleen leesrechten heeft. Verwacht een tabel met gebruikersnamen, machtigingen en of deze zijn overgeërfd of direct zijn toegewezen. Dit commando is vooral handig als je handmatig verleende machtigingen wilt controleren, want Windows en Exchange maken overerving vaak een ingewikkelde kwestie.
Zo ziet het er doorgaans uit:
get-mailboxpermission -identity <[email protected]> | ft -AutoSizeHet toont gebruikers en hun machtigingen voor die mailbox. In sommige configuraties werkt het direct, maar in andere gevallen moet je het mogelijk opnieuw uitvoeren of PowerShell herstarten (of even wachten).Ik weet niet zeker waarom het soms wel meteen werkt en soms niet, maar dat is nu eenmaal de frustrerende realiteit van dit soort scripts.
Een volledig machtigingsrapport in een rasterweergave verkrijgen
Als je een compleet beeld wilt, voer dan dit uit:
Get-Mailbox | Get-MailboxPermission | where {$_.user.tostring() -ne "NT AUTHORITY\SELF" -and $_. IsInherited -eq $false} | Out-GridViewDit zet alles overzichtelijk in een rasterweergave, waarbij de standaard zelf toegekende machtigingen en overgeërfde machtigingen worden gefilterd. Handig voor snelle controles. Houd er wel rekening mee dat het traag kan zijn als je veel mailboxen hebt.
Postvakken vinden waartoe een gebruiker volledige toegang heeft
Wil je controleren welke mailboxen een specifieke gebruiker volledig kan openen? Dan is dit commando handig:
Get-Mailbox -ResultSize Unlimited | Get-MailboxPermission -User Henrietta | ft User, Identity, AccessRightsDit geeft een lijst met mailboxen, zodat je kunt zien of Henrietta volledige toegang heeft of andere machtigingen. Het is erg handig als je wilt achterhalen welke machtigingen aan bepaalde personen zijn verleend, bijvoorbeeld voor naleving van regels of voor het opruimen van gegevens. Soms levert dit een paar verrassingen op, zoals gebruikers die meer toegang hebben dan ze beseffen of zouden moeten hebben.
Exchange Online PowerShell v3 (EXO V3) gebruiken
Als je Microsoft 365 gebruikt, maakt de nieuwere EXO V3-module dit een stuk soepeler. De commando’s zijn iets anders, maar het principe blijft hetzelfde. Bijvoorbeeld:
Get-EXOMailbox -ResultSize Unlimited | Get-EXOMailboxPermission -Identity $_. Identity | Where-Object {$_. User -eq "[email protected]"}Tip: Je kunt filteren op mailboxtype met –RecipientTypeDetails. Dat versnelt het proces als je alleen geïnteresseerd bent in gedeelde mailboxen, ruimtemailboxen of gebruikersmailboxen. Bijvoorbeeld:
Get-Mailbox -ResultSize Unlimited -RecipientTypeDetails SharedMailbox | Get-MailboxPermission -User "Henrietta" | ft User, Identity, AccessRightsToestemmingen verkrijgen voor ‘Verzenden namens’ en ‘Verzenden namens’
Voor SendAs-rechten kunt u het volgende proberen:
Get-Mailbox -RecipientTypeDetails UserMailbox -ResultSize Unlimited | Get-RecipientPermission -Trustee HenriettaEn voor “Verzenden namens” kunt u de gebruiker in de GrantSendOnBehalfToeigenschap opzoeken:
Get-Mailbox | ? {$_. GrantSendOnBehalfTo -match "Henrietta"}Hoe controleer je de machtigingen voor specifieke mappen in je mailboxen?
Als de machtigingen gedetailleerder zijn, zoals toegang tot alleen de Agenda of Postvak IN, is het iets lastiger. Je kunt Get-MailboxFolderStatisticsdan de commando’s `maptoegang` en `maptoegang` gebruiken Get-MailboxFolderPermission. Zie het als een manier om in te zoomen op de structuur van de mailboxen. Het onderstaande script scant alle mailboxen en geeft een overzicht van de mapmachtigingen voor een bepaalde gebruiker. Het is echter traag bij grote organisaties, dus probeer indien mogelijk specifieke mailboxen te targeten. Want Exchange maakt het natuurlijk altijd ingewikkelder dan nodig.
$user_find_permissions= "*Henrietta Fischer*" $allpermissions = @() $MBXs = Get-Mailbox -ResultSize Unlimited Foreach ($MBX in $MBXs){ $folders = Get-MailboxFolderStatistics -Identity $MBX. PrimarySmtpAddress foreach ($folder in $folders){ try { $folderPath = "$($MBX. PrimarySmtpAddress):\" + $folder. Name $folderPerms = Get-MailboxFolderPermission -Identity $folderPath -ErrorAction Stop | Where {$_. User -like $user_find_permissions} $allpermissions += $folderPerms } catch { # skipping folders where permissions can't be retrieved Continue } } } $allpermissions | Select Identity, FolderName, User, AccessRights Dit script geeft een overzicht van alle mappen (inclusief submappen) waartoe de gebruiker toegang heeft, samen met de bijbehorende toegangsrechten zoals Editor of Reviewer. Het is erg handig wanneer audits gedetailleerder moeten zijn, maar houd er rekening mee dat het script traag kan zijn bij grote mailboxen of veel mappen.
Voor meer geavanceerde toepassingen zijn er in de nieuwste modules ook nieuwere Get-EXOMailboxFolderPermissioncmdlets Get-EXOMailboxFolderStatisticsbeschikbaar. Deze zouden sneller en beter geïntegreerd moeten zijn, maar hebben nog steeds hun eigenaardigheden.
Samenvatting
In deze chaotische omgeving is het soms een kwestie van uitproberen om de juiste mailboxrechten te vinden. Deze scripts zijn onmisbaar om informatie uit de wirwar te halen, maar ze zijn niet perfect. Verwacht wat onbetrouwbaarheid bij grote installaties of complexe machtigingsinstellingen. Soms is wat geduld nodig – scripts opnieuw uitvoeren, filters aanpassen of inloggen met een ander account kan helpen. Maar over het algemeen hebben deze methoden me veel kopzorgen bespaard in vergelijking met het handmatig aanpassen van de machtigingen.
Samenvatting
- Gebruik deze functie
Get-MailboxPermissionvoor een snel overzicht van wie toegang heeft tot een mailbox. - Voer grotere zoekopdrachten uit met filteropties om
-RecipientTypeDetailsde prestaties te versnellen. - Controleer de specifieke maprechten met
Get-MailboxFolderPermission, maar houd rekening met vertragingen bij grote hoeveelheden data. - Voeg filters toe voor gebruiker of mailboxtype om de resultaten te verfijnen.
Samenvatting
Het is in principe een combinatie van deze scripts en gezond verstand. Handig voor audits, onderzoeken of opruimacties. Soms heb je geluk bij de eerste poging, en soms zijn er meerdere pogingen of kleinere batches nodig. Als dit maar één update op gang brengt, is dat al winst. Laten we hopen dat dit wat duidelijkheid schept.