Crear grupos de funciones vinculados que reflejen grupos de funciones integrados

Artículo
05/13/2016

Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Última modificación del tema: 2012-07-23

Al usar grupos de funciones vinculados de administración en Microsoft Exchange Server 2010, puede vincular un grupo de funciones en un bosque de recursos de Exchange 2010 con un grupo de seguridad universal (USG) en un bosque de usuarios externo. Esto resulta útil cuando desea que los administradores con cuentas en el bosque de usuarios administren los servidores que ejecutan Exchange en el bosque de recursos. Para obtener más información acerca de los grupos de funciones vinculados, consulte Descripción de los grupos de funciones de administración.

De forma predeterminada, Exchange 2010 incluye una cantidad de grupos de funciones integrados que le otorgan permisos para administrar diversas características y funciones de trabajo. Cada grupo de funciones está adaptado para proporcionar permisos específicos para cada característica y función de trabajo. No obstante, estos grupos de funciones no se pueden vincular con el USG en un bosque externo. Solo pueden contener usuarios y USG del bosque de recursos local. Afortunadamente, es posible replicar estos grupos de funciones integrados que usan grupos de funciones vinculados.

Puede volver a crear cada grupo de funciones integrado como un grupo de funciones vinculado. Todas las funciones y todos los ámbitos de administración asignados a cada grupo de funciones se agregan al nuevo grupo de funciones vinculado. Para obtener más información acerca de las funciones y los ámbitos de administración, consulte los siguientes temas:

¿Está buscando otras tareas de administración relacionadas con los grupos de funciones? Consulte Administración de administradores y usuarios especialistas.

Requisitos previos

La configuración de un grupo de funciones vinculado requiere de confianza unidireccional entre el bosque de recursos Active Directory, en el que residirá el grupo de funciones vinculado, y el bosque externo Active Directory, en el que residen los usuarios o los USG. El bosque de recursos debe confiar en el bosque externo.
Debe tener la siguiente información sobre el bosque externo Active Directory:
- Credenciales Debe tener un nombre de usuario y una contraseña con los que se pueda tener acceso al bosque externo Active Directory. Esta información se usa con el parámetro LinkedCredential en el cmdlet New-RoleGroup. Esta información se obtiene mediante la ejecución del cmdlet Get-Credential. El formato del nombre de usuario es dominio\nombre de usuario.
- Controlador de dominio Debe tener el nombre de dominio completo (FQDN) de un controlador de dominio de Active Directory en el bosque externo Active Directory. Esta información se usa con el parámetro LinkedDomainController en el cmdlet New-RoleGroup.
- USG externo Debe tener el nombre completo de USG en el bosque externo Active Directory que contenga a los miembros que desee asociar con el grupo de funciones vinculado. Esta información se usa con el parámetro LinkedForeignGroup en el cmdlet New-RoleGroup.

Usar el Shell para crear grupos de funciones vinculados que repliquen grupos de funciones integrados

Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento. Para ver qué permisos necesita, consulte el Entrada "Grupos de funciones" en el tema Permisos de administración de funciones.

Nota

No puede usar la EMC para crear grupos de funciones vinculados que repliquen grupos de funciones integrados

Cada una de las siguientes secciones muestra cómo volver a crear cada grupo de funciones como un grupo de funciones vinculado. Complete los procedimientos en cada sección para volver a crear todos los grupos de funciones integrados como grupos de funciones vinculados.

Crear el grupo de funciones vinculado Administración de organizaciones

Para volver a crear el grupo de funciones Administración de la organización como un grupo de funciones vinculado, se realiza un procedimiento distinto al que se realiza para volver a crear otros grupos de funciones integrados. Esto se debe a que el grupo de funciones Administración de la organización tiene asignaciones de funciones de delegación entre él y todas las funciones de administración. Volver a crear las asignaciones de funciones de delegación requiere un paso adicional.

Cree un USG en el bosque externo que se vinculará con el grupo de funciones Administración de la organización.
Almacene las credenciales del bosque externo Active Directory en una variable.
```
$ForeignCredential = Get-Credential
```
Almacene todas las funciones asignadas al grupo de funciones Administración de la organización en una variable.
```
$OrgMgmt  = Get-RoleGroup "Organization Management"
```

Cree el grupo de funciones vinculado Administración de la organización y agregue las funciones asignadas al grupo de funciones integrado Administración de la organización.

New-RoleGroup "Organization Management - Linked" -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign ExADNoMk domain controller> -LinkedCredential $ForeignCredential -Roles $OrgMgmt.Roles

Quite todas las asignaciones normales entre el nuevo grupo de funciones vinculado Administración de la organización y las funciones de usuarios finales My*.
```
Get-ManagementRoleAssignment -RoleAssignee "Organization Management - Linked" -Role My* | Remove-ManagementRoleAssignment
```
Agregue asignaciones de funciones de delegación entre el nuevo grupo de funciones vinculado Administración de la organización y todas las funciones de administración.
```
Get-ManagementRole | New-ManagementRoleAssignment -SecurityGroup "Organization Management - Linked" -Delegating
```

En este ejemplo, se supone que para cada parámetro se usan los siguientes valores:

LinkedForeignGroup Organization Management Administrators
LinkedDomainController DC01.users.contoso.com

Mediante los valores anteriores, en este ejemplo se vuelve a crear el grupo de funciones Administración de la organización como un grupo de funciones vinculado.

$ForeignCredential = Get-Credential
$OrgMgmt  = Get-RoleGroup "Organization Management"
New-RoleGroup "Organization Management - Linked" -LinkedForeignGroup "Organization Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $OrgMgmt.Roles
Get-ManagementRoleAssignment -RoleAssignee "Organization Management - Linked" -Role My* | Remove-ManagementRoleAssignment
Get-ManagementRole | New-ManagementRoleAssignment -SecurityGroup "Organization Management - Linked" -Delegating

Crear todos los demás grupos de funciones vinculados

Para volver a crear los grupos de funciones integrados (que no sea el grupo de funciones Administración de la organización) como grupos de funciones vinculados, use el siguiente procedimiento para cada grupo.

Cree un USG en el bosque externo para cada grupo de funciones que se vinculará con cada nuevo grupo de funciones.
Almacene las credenciales del bosque externo Active Directory en una variable. Deberá realizar este procedimiento una sola vez.
```
$ForeignCredential = Get-Credential
```
Recupere una lista de los grupos de funciones mediante el siguiente cmdlet.
```
Get-RoleGroup
```

Para cada grupo de funciones, que no sea el grupo de funciones Administración de la organización, realice las siguientes acciones.

$RoleGroup = Get-RoleGroup <name of role group to re-create>
New-RoleGroup "<role group name> - Linked" -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles

Repita el paso anterior para cada grupo de funciones integrado que desee volver a crear como un grupo de funciones vinculado.

En este ejemplo, se supone que para cada parámetro se usan los siguientes valores:

LinkedDomainController DC01.users.contoso.com
Grupos de funciones integrados que se volverán a crear como grupos de funciones vinculados Recipient Management, Server Management
Grupo externo para el grupo de funciones vinculado Administración de destinatarios Recipient Management Administrators
Grupo externo para el grupo de funciones vinculado Administración de servidores Server Management Administrators

Mediante los valores anteriores, en este ejemplo se vuelve a crear Recipient Management y los grupos de funciones Administración de servidores como grupos de funciones vinculados.

$ForeignCredential = Get-Credential
Get-RoleGroup
$RoleGroup = Get-RoleGroup "Recipient Management"
New-RoleGroup "Recipient Management - Linked" -LinkedForeignGroup "Recipient Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles
$RoleGroup = Get-RoleGroup "Server Management"
New-RoleGroup "Server Management - Linked" -LinkedForeignGroup "Server Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles

Otras tareas

Después de crear grupos de funciones vinculados, es posible que también desee realizar las siguientes tareas:

Agregar miembros a los USG externos mediante usuarios y equipos de Active Directory en el bosque externo.
Quitar miembros de grupos de funciones integrados. Para obtener más información, consulte Quitar miembros de un grupo de funciones.
Agregar funciones adicionales a los nuevos grupos de funciones vinculados. Para obtener más información, consulte Agregar una función a un grupo de funciones.
Quitar funciones de los nuevos grupos de funciones vinculados. Para obtener más información, consulte Quitar una función de un grupo de funciones.
Cambiar los ámbitos de asignaciones de funciones entre los nuevos grupos de funciones vinculados y las funciones de administración. Para obtener más información, consulte Cambiar el ámbito de asignaciones de funciones en un grupo de funciones.
Crear grupos adicionales de funciones vinculados. Para obtener más información, consulte Crear un grupo de funciones vinculadas.