Gestire gruppi di ruoli collegati
Si applica a: Exchange Server 2013
Un gruppo legato al ruolo di gestione può essere utilizzato per abilitare i membri di un gruppo di protezione universale in una foresta Active Directory esterna al fine di gestire un'organizzazione Microsoft Exchange Server 2013 in una foresta di risorse Active Directory. Associando un gruppo di protezione universale in una foresta esterna con un gruppo legato al ruolo, ai membri del gruppo di protezione universale sono concesse le autorizzazioni fornite dai ruoli di gestione assegnati al gruppo legato al ruolo. Per ulteriori informazioni sui gruppi di ruoli collegati, vedere Informazioni sui gruppi di ruoli di gestione.
Per creare e configurare gruppi legati al ruolo, è necessario utilizzare i cmdlet New-RoleGroup e Set-RoleGroup. Per ulteriori informazioni sulla sintassi e sui parametri, vedere:
Per le attività di gestione aggiuntive relative a gruppi di ruoli, vedere Autorizzazioni.
Che cosa è necessario sapere prima di iniziare?
Tempo stimato per il completamento di ciascuna procedura: Da 5 a 10 minuti
Per eseguire queste procedure, è necessario disporre delle autorizzazioni appropriate. Per sapere quali autorizzazioni sono necessarie, vedere "Gruppi di ruoli" nell'argomento Autorizzazioni per la gestione del ruolo.
Non è possibile usare l'interfaccia di amministrazione di Exchange per creare o configurare gruppi di ruoli collegati. È necessario utilizzare Exchange Management Shell.
Per configurare un gruppo legato al ruolo è necessario che vi sia almeno un trust unidirezionale tra la foresta di risorse Active Directory in cui il gruppo sarà ubicato e la foresta Active Directory esterna a cui appartengono gli utenti o i gruppi di protezione universale. La foresta di risorse deve considerare attendibile la foresta esterna.
È necessario disporre delle seguenti informazioni sulla foresta esterna di Active Directory:
Credenziali: è necessario disporre di un nome utente e una password che possano accedere alla foresta active directory esterna. Queste informazioni vengono usate con il parametro LinkedCredential nei cmdlet New-RoleGroup e Set-RoleGroup .
Controller di dominio: è necessario disporre del nome di dominio completo (FQDN) di un controller di dominio Active Directory nella foresta active directory esterna. Queste informazioni vengono usate con il parametro LinkedDomainController nei cmdlet New-RoleGroup e Set-RoleGroup .
Usg esterno: è necessario avere il nome completo di un gruppo di sicurezza di sicurezza nella foresta active directory esterna che contiene i membri che si desidera associare al gruppo di ruoli collegato. Queste informazioni vengono usate con il parametro LinkedForeignGroup nel cmdlet New-RoleGroup e Set-RoleGroup .
Per informazioni sui tasti di scelta rapida che è possibile utilizzare con le procedure in questo argomento, vedere Tasti di scelta rapida nell'interfaccia di amministrazione di Exchange.
Consiglio
Problemi? È possibile richiedere supporto nei forum di Exchange. Visitare i forum all'indirizzo Exchange Server.
Creazione di un gruppo legato al ruolo
Utilizzo di Shell per creare un gruppo legato al ruolo senza ambito
Per creare un gruppo legato al ruolo e assegnare ruoli di gestione per il gruppo legato al ruolo, fare quanto segue:
Archiviare le credenziali della foresta esterna di Active Directory in una variabile.
$ForeignCredential = Get-Credential
Creare il gruppo di ruoli collegato utilizzando la sintassi seguente.
New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -Roles <role1, role2, role3...>
Aggiungere o rimuovere i membri dal gruppo di protezione universale esterno utilizzando Utenti e computer di Active Directory su un computer nella foresta esterna di Active Directory.
Con questo esempio viene effettuato quanto segue:
Vengono recuperate le credenziali per la foresta esterna di Active Directory users.contoso.com. Queste credenziali vengono utilizzate per collegarsi al controller di dominio DC01.users.contoso.com nella foresta esterna.
Crea un gruppo legato al ruolo chiamato Gruppo di ruoli conformi nella foresta risorse in cui Exchange 2013 è installato.
Collega il nuovo gruppo di ruolo al gruppo di protezione universale degli amministratori conformi nella foresta Active Directory esterna di users.contoso.com.
Assegnare le Regole di trasporto e le regole per la gestione dell'inserimento del Journal al nuovo gruppo legato al ruolo.
$ForeignCredential = Get-Credential
New-RoleGroup "Compliance Role Group" -LinkedForeignGroup "Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles "Transport Rules", "Journaling"
Utilizzo di Shell per creare un gruppo legato al ruolo con ambito di gestione personalizzato
È possibile creare gruppi legati al ruolo con ambiti di gestione del destinatario personalizzato, ambiti di gestione di configurazione personalizzata o entrambi. Per creare un gruppo legato al ruolo e assegnare ad esso ruoli di gestione con ambiti personalizzati, fare quanto segue:
Archiviare le credenziali della foresta esterna di Active Directory in una variabile.
$ForeignCredential = Get-Credential
Creare il gruppo di ruoli collegato utilizzando la sintassi seguente.
New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -CustomConfigWriteScope <name of configuration scope> -CustomRecipientWriteScope <name of recipient scope> -LinkedCredential $ForeignCredential -Roles <role1, role2, role3...>
Aggiungere o rimuovere i membri dal gruppo di protezione universale esterno utilizzando Utenti e computer di Active Directory su un computer nella foresta esterna di Active Directory.
Con questo esempio viene effettuato quanto segue:
Vengono recuperate le credenziali per la foresta esterna di Active Directory users.contoso.com. Queste credenziali vengono utilizzate per collegarsi al controller di dominio DC01.users.contoso.com nella foresta esterna.
Crea un gruppo legato al ruolo chiamato Gruppo di ruoli conformi di Seattle nella foresta risorse in cui Exchange 2013 è installato.
Collega il nuovo gruppo di ruolo al gruppo di protezione universale degli amministratori conformi di Seattle nella foresta Active Directory esterna di users.contoso.com.
Assegnare le Regole di trasporto e le regole per la gestione dell'inserimento del Journal al nuovo gruppo legato al ruolo con ambiti di gestione dei destinatari personalizzati di Seattle.
$ForeignCredential = Get-Credential
New-RoleGroup "Seattle Compliance Role Group" -LinkedForeignGroup "Seattle Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -CustomRecipientWriteScope "Seattle Recipients" -Roles "Transport Rules", "Journaling"
Per ulteriori informazioni sugli ambiti di gestione, vedere Comprensione degli ambiti di gestione dei ruoli.
Utilizzo di Shell per creare un gruppo legato al ruolo con ambito di unità organizzativa
È possibile creare gruppi legati al ruolo che utilizzano un ambito destinatario dell'unità organizzativa. Per creare un gruppo legato al ruolo e assegnare ad esso ruoli di gestione con ambito di unità organizzativa, fare quanto segue:
Archiviare le credenziali della foresta esterna di Active Directory in una variabile.
$ForeignCredential = Get-Credential
Creare il gruppo di ruoli collegato utilizzando la sintassi seguente.
New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -RecipientOrganizationalUnitScope <OU name> -Roles <role1, role2, role3...>
Aggiungere o rimuovere i membri dal gruppo di protezione universale esterno utilizzando Utenti e computer di Active Directory su un computer nella foresta esterna di Active Directory.
Con questo esempio viene effettuato quanto segue:
Vengono recuperate le credenziali per la foresta esterna di Active Directory users.contoso.com. Queste credenziali vengono utilizzate per collegarsi al controller di dominio DC01.users.contoso.com nella foresta esterna.
Crea un gruppo legato al ruolo chiamato Gruppo di ruoli conformi Executives nella foresta risorse in cui Exchange 2013 è installato.
Collega il nuovo gruppo di ruolo al gruppo di protezione universale degli amministratori conformi Executives nella foresta Active Directory esterna di users.contoso.com.
Assegnare le Regole di trasporto e le regole per la gestione dell'inserimento del Journal al nuovo gruppo legato al ruolo con ambito destinatario dell'unità organizzativa Executives.
$ForeignCredential = Get-Credential
New-RoleGroup "Executives Compliance Role Group" -LinkedForeignGroup "Executives Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -RecipientOrganizationalUnitScope "Executives OU" -Roles "Transport Rules", "Journaling"
Per ulteriori informazioni sugli ambiti di gestione, vedere Comprensione degli ambiti di gestione dei ruoli.
Modifica del gruppo di protezione universale in un gruppo legato al ruolo
Modifica del gruppo di protezione universale esterno in un gruppo di ruolo collegato tramite Shell
Per modificare il gruppo di protezione universale esterno associato a un gruppo di ruolo collegato, procedere come segue:
Archiviare le credenziali della foresta esterna di Active Directory in una variabile.
$ForeignCredential = Get-Credential
Modificare il gruppo di protezione universale nel gruppo legato al ruolo esistente utilizzando la seguente sintassi.
Set-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential
Con questo esempio viene effettuato quanto segue:
Vengono recuperate le credenziali per la foresta esterna di Active Directory users.contoso.com. Queste credenziali vengono utilizzate per collegarsi al controller di dominio DC01.users.contoso.com nella foresta esterna.
Consente di cambiare il gruppo di protezione universale esterno del gruppo di ruolo Compliance Role Group in Regulatory Compliance Officers.
$ForeignCredential = Get-Credential
Set-RoleGroup "Compliance Role Group" -LinkedForeignGroup "Regulatory Compliance Officers" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential