Compartir a través de

Creación de ámbitos de escritura exclusivos

  • Artículo

Se aplica a: Office 365 for enterprises, Live@edu

Última modificación del tema: 2011-03-19

Un ámbito de escritura exclusivo aísla determinados buzones de correo de tal forma que solo podrán administrarlos los administradores designados. Por ejemplo, puede usar un ámbito de escritura exclusivo para aislar los buzones de correo de los ejecutivos o administradores de Exchange Online de la organización. De esta manera, el personal de asistencia técnica u otros administradores que pueden administrar buzones de correo en la organización no podrán modificar los buzones de correo de los ejecutivos o administradores de Exchange Online definidos por el ámbito de escritura exclusivo.

Un ámbito de escritura exclusivo es un ámbito de escritura personalizado basado en filtros de destinatario. Para crear ámbitos de escritura exclusivos debe usar Windows PowerShell. Un filtro de destinatario requiere el uso de OPATH, que es la sintaxis de filtrado que usa Windows PowerShell.

Antes de comenzar

  • Cuando se crea un ámbito de escritura exclusivo, ningún administrador podrá modificar los buzones de correo que coincidan con el filtro de destinatario usado por el ámbito, incluyendo los administradores de Exchange Online. A todos los administradores que necesiten modificar o eliminar los buzones de correo definidos por el ámbito de escritura exclusivo se les deben asignar las funciones de administrador apropiados mediante dicho ámbito de escritura exclusivo.
    Sin embargo, es posible que ámbitos de escritura exclusivos diferentes tengan algunos buzones de correo en común. Los administradores a los que se les han asignado funciones mediante un ámbito de escritura exclusivo pueden administrar todos los buzones de correo definidos por dicho ámbito, independientemente de que existan otros ámbitos de escritura exclusivos que incluyan todos o parte de los mismos buzones de correo. Por ejemplo, suponga que un ámbito de escritura exclusivo usa el filtro de destinatario "Puesto es igual a Administrador" y otro ámbito de escritura exclusivo diferente usa el filtro de destinatario "Departamento es igual a Finanzas". Los administradores a los que se les han asignado funciones mediante el ámbito de escritura exclusivo "Puesto es igual a Administrador" pueden administrar los buzones de correo con el departamento "Finanzas" cuyo puesto es "Administrador". De igual manera, los administradores a los que se les han asignado funciones mediante el ámbito de escritura exclusivo "Departamento es igual a Finanzas" pueden administrar buzones de correo cuyo puesto es "Administrador" si el departamento es "Finanzas".
  • Para obtener información sobre cómo instalar y configurar Windows PowerShell V2 y conectarlo al servicio, vea Uso de Windows PowerShell.
  • Para obtener información detallada sobre la sintaxis de los filtros de destinatario, incluyendo los operadores y las propiedades de destinatario a las que se puede aplicar un filtro, vea Creación de grupos de distribución dinámicos mediante filtros personalizados.

Creación de un ámbito de escritura exclusivo

Ejecute el comando siguiente:

New-ManagementScope -Name <name> -RecipientRestrictionFilter {<filter>} -Exclusive

Ejemplo   A continuación se muestra un comando que crea un ámbito de escritura exclusivo denominado "Vancouver Executives" que especifica todos los buzones de correo de Vancouver cuyos departamentos empiecen por "Executive":

New-ManagementScope -Name "Vancouver Executives" -RecipientRestrictionFilter {(RecipientType -eq 'UserMailbox') -and (City -eq 'Vancouver') -and (Department -like 'Executive*')} -Exclusive

Nota   Para mostrar los buzones de correo definidos por este ámbito de escritura exclusivo, ejecute el comando siguiente:

Get-User | where {($_.RecipientType -eq 'UserMailbox') -and ($_.City -eq 'Vancouver') -and ($_.Department -like 'Executive*')}

Uso del ámbito de escritura exclusivo

Una vez creado el ámbito de escritura exclusivo, debe asociarlo con una asignación de funciones. Una asignación de funciones asocia una función de administración a un grupo de funciones, un grupo de seguridad o un buzón de correo. Al asignar una función a un grupo de funciones, se conceden a los miembros del grupo los permisos necesarios para utilizar los cmdlets y los parámetros de Windows PowerShell definidos en la función. El ámbito de escritura de la asignación de funciones controla dónde se pueden usar las funciones.

Continuando con el ejemplo anterior, haga lo siguiente:

  1. Cree un nuevo grupo de funciones denominado "Vancouver Executive Administrators" y agregue los buzones de correo de los usuarios que desea administrar al grupo de funciones "Vancouver Executives".
  2. Sustituya el ámbito de escritura predeterminado usado para asignar todas las funciones al grupo de funciones por el ámbito de escritura exclusivo "Vancouver Executives".

Creación del nuevo grupo de funciones y adición de miembros

  1. En el Panel de control de Exchange, seleccione Administrar Mi organización > Funciones y auditoría > Funciones de administrador y haga clic en Nuevo.
  2. En la ventana Nuevo grupo de funciones, especifique la información siguiente:
    1. Nombre   Vancouver Executive Administrators
    2. Descripción   Esta función permite a los administradores especificados administrar usuarios importantes aislados mediante el ámbito de escritura exclusivo "Vancouver Executives".
    3. Funciones   Haga clic en Agregar. Seleccione las funciones siguientes y haga clic en Agregar:
      • Audit Logs
      • Legal Hold
      • Mail Recipient Creation
      • Mail Recipients
      • Reset Password
      • Retention Management
      • UM Mailboxes
      • User Options
      Cuando haya terminado, haga clic en Aceptar.
    4. Miembros   Haga clic en Agregar. Agregue el grupo de funciones "Organization Management" y los usuarios y grupos que desee que puedan modificar los buzones de correo de "Vancouver Executives". Para agregar miembros al grupo de funciones, seleccione el usuario o grupo y haga clic en Agregar. Repita este procedimiento para cada usuario o grupo.
  3. Cuando haya terminado, haga clic en Aceptar y después en Guardar.

Nota   No todas las funciones están disponibles en todas las organizaciones. Como se ha explicado anteriormente, el ámbito de escritura exclusivo aísla los buzones de correo definidos por el ámbito. Debe agregar cualquier función de administrador que permita a los administradores modificar o eliminar buzones de correo.

En concreto, deberá agregar todas las funciones de administrador que usen los cmdlets Set-Mailbox o Remove-Mailbox. Para ver estas funciones en Windows PowerShell, ejecute los comandos siguientes:

Get-ManagementRoleEntry *\Set-Mailbox | where {$_.Role -notlike 'My*'}
Get-ManagementRoleEntry *\Remove-Mailbox| where {$_.Role -notlike 'My*'}

Otros tipos de funciones, como las funciones con permiso de vista o los que permiten la modificación de objetos de organización, como las reglas de transporte, no son necesarios. Además, las funciones de usuario final no se pueden usar con ámbitos de escritura exclusivos.

Sustitución del ámbito de escritura predeterminado de todas las asignaciones de funciones del grupo de funciones por el ámbito de escritura exclusivo

En Windows PowerShell, ejecute el comando siguiente:

Get-ManagementRoleAssignment -RoleAssignee <role group> | Set-ManagementRoleAssignment -ExclusiveRecipientWriteScope <exclusive write scope>

En este ejemplo, el nombre del grupo de funciones es "Vancouver Executive Administrators" y el ámbito de escritura exclusivo es "Vancouver Executives", Ejecute el comando siguiente:

Get-ManagementRoleAssignment -RoleAssignee "Vancouver Executive Administrators" | Set-ManagementRoleAssignment -ExclusiveRecipientWriteScope "Vancouver Executives"

Aspectos que no se deben olvidar

  • Si un administrador no especificado intenta cambiar una propiedad de buzón de correo que incluya al buzón en el ámbito de escritura exclusivo, se producirá un error. Por ejemplo, si el ámbito de escritura exclusivo usa el filtro de destinatario "Puesto es igual a Administrador", los administradores no especificados o el personal de asistencia técnica no pueden cambiar el atributo Puesto de un buzón de correo por el valor "Administrador".

  • Es posible que los usuarios agregados al grupo de funciones necesiten cerrar la sesión e iniciarla de nuevo para poder modificar los buzones de correo definidos por el ámbito de escritura exclusivo.

  • Una vez aplicado el ámbito de escritura exclusivo a las funciones asignadas al grupo de funciones, no podrá agregar ni quitar funciones en el Panel de control de Exchange. Es necesario usar Windows PowerShell.
    Para agregar una función al grupo de funciones, ejecute el comando siguiente:

    New-ManagementRoleAssignment -SecurityGroup <role group> -Role <role name> -ExclusiveRecipientWriteScope <exclusive write scope>

    Para quitar una función de un grupo de funciones, ejecute el comando siguiente:

    Get-ManagementRoleAssignment -RoleAssignee <role group> -Role <role name> -Delegating $false | Remove-ManagementRoleAssignment