Agregar una función a un usuario o grupo de seguridad universal
Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Última modificación del tema: 2012-07-23
Las asignaciones de funciones de administración pueden asignar una función a un usuario o un grupo de seguridad universal. Al asignar una función a un usuario o un grupo de seguridad universal, esos usuarios pueden efectuar tareas conforme a los cmdlets o las secuencias de comandos y sus parámetros que estén definidos en la función de administración.
Si bien se puede asignar roles directamente a usuarios y a grupos de seguridad universal, el método recomendado de otorgar permisos a administradores y usuarios finales es emplear grupos de roles de administración y directivas de asignación de roles de administración. Si usa grupos de roles y directivas de asignación, el modelo de permisos se simplifica.
Si desea asignar funciones a un grupo de funciones de administración o a una directiva de asignación de funciones de administración, consulte los temas siguientes:
Si desea agregar miembros a un grupo de funciones de administración o asignar una directiva de asignación de funciones a un usuario final, consulte los temas siguientes:
Para obtener más información, consulte Descripción del control de acceso basado en funciones.
Nota
Las asignaciones de funciones son de adición. Eso significa que todas las funciones se agregan a la vez cuando se evalúan. Si se asignan dos roles a un usuario y uno contiene un cmdlet pero el otro no, el cmdlet seguirá estando disponible para el usuario.
De forma predeterminada, las asignaciones de funciones no otorgan la capacidad de asignar funciones a otros usuarios. Para que un usuario pueda asignar funciones a otros usuarios o grupos de seguridad universal, consulte Delegar asignaciones de funciones.
Debe usar el Shell para agregar una asignación de rol.
Si crea una asignación con un ámbito, el ámbito anula el ámbito de escritura implícito del rol. Sin embargo, el ámbito de lectura implícito de la función sigue vigente. El nuevo ámbito no puede devolver objetos fuera del ámbito de lectura implícito del rol. Para obtener más información, consulte Descripción de los ámbitos de roles de administración.
Todos los procedimientos de este tema usan el parámetro SecurityGroup para asignar funciones a un grupo de seguridad universal. Si desea asignar el rol a un determinado usuario, use el parámetroUser en lugar del parámetro SecurityGroup. El resto de la sintaxis para cada comando es el mismo.
¿Está buscando otras tareas de administración relacionadas con funciones? Consulte Administración de permisos avanzados.
Creación una asignación de función sin ámbito
Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento. Para ver qué permisos necesita, consulte el Entrada "Asignaciones de roles" en el tema Permisos de administración de funciones.
Nota
La EMC no se puede utilizar para crear una asignación de roles sin ámbito.
Puede crear una asignación de función sin ámbito. Al hacer esto, se aplican los ámbitos implícitos de lectura y escritura de la función.
Use la sintaxis siguiente para asignar un rol sin ámbito a un grupo de seguridad universal.
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name>
En este ejemplo se asigna el rol Servidores de Exchange al grupo de seguridad universal SeattleAdmins.
New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers"
Para obtener información más detallada acerca de la sintaxis y los parámetros, consulte New-ManagementRoleAssignment.
Crear una asignación de roles con un ámbito predefinido relativo
Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento. Para ver qué permisos necesita, consulte el Entrada "Asignaciones de roles" en el tema Permisos de administración de funciones.
Nota
La EMC no se puede utilizar para crear una asignación de roles con un ámbito relativo predefinido.
Si un ámbito relativo predefinido se adecua a los requisitos empresariales, puede aplicarlo a la asignación de roles en vez de crear un ámbito personalizado. Para obtener una lista con los ámbitos predefinidos y sus descripciones, consulte Descripción de los ámbitos de roles de administración.
Use la sintaxis siguiente para asignar un rol a un grupo de seguridad universal (USG) con un ámbito predefinido:
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -RecipientRelativeWriteScope < MyDistributionGroups | Organization | Self >
En este ejemplo se asigna el rol Servidores de Exchange al USG SeattleAdmins y se aplica el ámbito predefinido Organización.
New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers" -RecipientRelativeWriteScope Organization
Para obtener información más detallada acerca de la sintaxis y los parámetros, consulte New-ManagementRoleAssignment.
Creación una asignación de función con un ámbito basado en filtro
Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento. Para ver qué permisos necesita, consulte el Entrada "Asignaciones de roles" en el tema Permisos de administración de funciones.
Nota
La EMC no se puede utilizar para crear una asignación de roles con un ámbito de destinatarios basado en filtros.
Si crea un ámbito basado en filtro de destinatarios y lo va a usar con una asignación de roles, debe incluir el ámbito en el comando que se aplica para asignar el rol a un grupo de seguridad universal mediante el parámetro CustomRecipientWriteScope. Si usa el parámetro CustomRecipientWriteScope, no puede usar el parámetro RecipientOrganizationalUnitScope.
Antes de poder agregar un ámbito a una asignación de funciones, debe crear uno. Para obtener más información, consulte Crear un ámbito regular o exclusivo.
Use la sintaxis siguiente para asignar un rol a un grupo de seguridad universal con un ámbito basado en el filtro de destinatarios.
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -CustomRecipientWriteScope <role scope name>
En este ejemplo se asigna el rol Destinatarios de correo al USG Administradores de destinatarios de Seattle y aplica el ámbito Destinatarios de Seattle.
New-ManagementRoleAssignment -Name "Mail Recipients_Seattle Recipient Admins" -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -CustomRecipientWriteScope "Seattle Recipients"
Para obtener información más detallada acerca de la sintaxis y los parámetros, consulte New-ManagementRoleAssignment.
Creación de una asignación de roles con un ámbito de configuración de servidor o base de datos basado en filtros o listas
Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento. Para ver qué permisos necesita, consulte el Entrada "Asignaciones de roles" en el tema Permisos de administración de funciones.
Nota
La EMC no se puede utilizar para crear una asignación de roles con un ámbito de configuración de servidor o base de datos basado en filtros o listas.
Si crea un ámbito de configuración de servidor basado en listas o filtros base de datos y lo va a usar con una asignación de roles, debe incluir el ámbito en el comando que se aplica para asignar el rol a un grupo de seguridad universal mediante el parámetro CustomConfigWriteScope.
Antes de poder agregar un ámbito a una asignación de funciones, debe crear uno. Para obtener más información, consulte Crear un ámbito regular o exclusivo.
Use la sintaxis siguiente para asignar un rol a un grupo de seguridad universal con un ámbito de configuración.
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -CustomConfigWriteScope <role scope name>
En este ejemplo se asigna el rol Servidores de Exchange al USG MailboxAdmins y se aplica el ámbito Servidores de buzones.
New-ManagementRoleAssignment -Name "Exchange Servers_MailboxAdmins" -SecurityGroup MailboxAdmins -Role "Exchange Servers" -CustomConfigWriteScope "Mailbox Servers"
En el ejemplo anterior se muestra cómo agregar una asignación de roles con un ámbito de configuración de servidor. La sintaxis para agregar un ámbito de configuración de base de datos es la misma. Solo tiene que indicar el nombre del ámbito de base de datos en vez del ámbito de servidor.
Para obtener información más detallada acerca de la sintaxis y los parámetros, consulte New-ManagementRoleAssignment.
Creación una asignación de función con un ámbito de unidad organizativa
Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento. Para ver qué permisos necesita, consulte el Entrada "Asignaciones de roles" en el tema Permisos de administración de funciones.
Nota
La EMC no se puede utilizar para crear una asignación de roles con un ámbito de unidad organizativa (OU).
Si desea asignar un ámbito de escritura de un rol a una OU, puede especificar la OU directamente en el parámetro RecipientOrganizationalUnitScope. Si usa el parámetro RecipientOrganizationalUnitScope, no puede usar el parámetro CustomRecipientWriteScope.
Use la sintaxis siguiente para asignar un rol a un grupo de seguridad universal y restringir el ámbito de escritura de un rol a una determinada unidad organizativa.
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -RecipientOrganizationalUnitScope <OU>
Este ejemplo asigna el rol de destinatarios de correo al grupo de seguridad universal SalesRecipientAdmins y aplica el ámbito de asignación a la OU Ventas/Usuarios del dominio contoso.com.
New-ManagementRoleAssignment -Name "Mail Recipients_SalesRecipientAdmins" -SecurityGroup SalesRecipientAdmins -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users
Para obtener información más detallada acerca de la sintaxis y los parámetros, consulte New-ManagementRoleAssignment.
Creación una asignación de función con un ámbito de configuración o de destinatario exclusivo
Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento. Para ver qué permisos necesita, consulte el Entrada "Asignaciones de roles" en el tema Permisos de administración de funciones.
Nota
La EMC no se puede utilizar para crear una asignación de roles con un ámbito exclusivo de destinatario o configuración.
Para crear una asignación de rol con un ámbito de configuración o de destinatario exclusivo, puede usar los mismos procedimientos indicados en las secciones Create a role assignment with a recipient filter-based scope y Create a role assignment with a server or database filter or list-based configuration scope. La única diferencia estriba en que, al crear una función con un ámbito exclusivo, debe especificar los parámetros exclusivos siguientes en función de si se usa un parámetro de configuración exclusivo o uno de destinatario exclusivo:
Ámbitos exclusivos de destinatarios Use el parámetro ExclusiveRecipientWriteScope en lugar del parámetro CustomRecipientWriteScope.
Ámbitos exclusivos de configuración Use el parámetro ExclusiveConfigWriteScope en lugar del parámetro CustomConfigWriteScope.
Al efectuar este procedimiento, los usuarios a los que se asigna el rol pueden realizar acciones respecto a los objetos que se incluyen en el ámbito exclusivo. Para obtener más información sobre los ámbitos exclusivos, consulte Descripción de ámbitos exclusivos.
No se puede crear una asignación de función con ámbitos exclusivos y normales.
En este ejemplo se asigna el rol Destinatarios de correo al USG Protected User Admins y se aplica el ámbito exclusivo Usuarios protegidos.
New-ManagementRoleAssignment -Name "Mail Recipients_Protected User Admins" -SecurityGroup "Protected User Admins" -Role "Mail Recipients" -ExclusiveRecipientWriteScope "Protected Users"
Para obtener información más detallada acerca de la sintaxis y los parámetros, consulte New-ManagementRoleAssignment.
© 2010 Microsoft Corporation. Reservados todos los derechos.