Не могу не перепостить из блога Майка Пфайфера.
1. Как узнать может ли пользователь изменять объект? Скрипт:
Get-ManagementRoleAssignment -WritableRecipient administrator -GetEffectiveUsers |
?{$_.EffectiveUserName -eq "Stas Buldakov"}
2. Какие роли могут запускать определённый командлет? Скрипт:
Get-ManagementRoleEntry '*New-MailboxImportRequest'
3. Какие командлеты может запускать определённая роль? Скрипт:
Get-ManagementRoleEntry 'Mailbox Import Export*'
4. Какие роли включены в группу ролей? Скрипт:
Get-ManagementRoleAssignment -RoleAssignee "Mailbox Import Export Admins" | select Role,AssignmentMethod,EffectiveUserName
5. Какие пользователи включены в группу ролей? Скрипт:
Get-RoleGroup 'Mailbox Import Export Admins' | Get-RoleGroupMember
6. Кому назначена была роль? Скрипт:
Get-ManagementRoleAssignment -Role 'Legal Hold' -GetEffectiveUsers | select EffectiveUserName -Unique
7. Какие роли назначены пользователю? Скрипт:
Get-ManagementRoleAssignment -GetEffectiveUsers |
?{$_.EffectiveUserName -eq "Stas Buldakov"} | select Role