Получить список делегированных почтовых ящиков, к которым имеют доступ другие пользователи в Exchange 2010\2013

Иногда при аудитах Exchange нужно получить список пользователей, которые имеют доступ к другим почтовым ящикам. Или наоборот - получить список почтовых ящиков, к которым имеют доступ другие люди. В Exchange 2010/2013 есть специальный командлет Get-MailboxPermission который умеет опрашивать список ACL (Access Control List) почтовых ящиков.

Можно расширить область применения этого командлета на все почтовые ящики в организации:

 Get-Mailbox | Get-MailboxPermission

В полученном списке будет много записей типа SELF, а также наследованных записей. Их можно отфильтровать:

Get-Mailbox | Get-MailboxPermission | where {$_.user.tostring() -ne "NT AUTHORITY\SELF" -and $_.IsInherited -eq $false}

Полученные результаты можно отправить в csv-файл и открыть для работы в Excel (первая строка) или, для быстрого анализа, экспортировать в отдельную табличку (вторая строка):

Get-Mailbox | Get-MailboxPermission | where {$_.user.tostring() -ne "NT AUTHORITY\SELF" -and $_.IsInherited -eq $false} | Export-Csv c:\mailbox-permissions.csv

Get-Mailbox | Get-MailboxPermission | where {$_.user.tostring() -ne "NT AUTHORITY\SELF" -and $_.IsInherited -eq $false} | Out-GridView

Таким образом вы можете проводить регулярный аудит по разрешениям к почтовым ящикам в компании.