Aggiunta di un ruolo ad un utente o a un gruppo di protezione universale

Articolo
05/13/2016

Si applica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Ultima modifica dell'argomento: 2012-07-23

Le assegnazioni del ruolo di gestione consentono di assegnare un ruolo di gestione a un utente o a un gruppo di protezione universale (USG, Universal Security Group). Assegnando un ruolo a un utente o a un gruppo di protezione universale, gli utenti possono eseguire attività dipendenti dai cmdlet o dagli script e dai relativi parametri definiti nel ruolo di gestione.

Anche se è possibile assegnare direttamente i ruoli agli utenti e ai gruppi di protezione universali, per concedere le autorizzazioni agli amministratori e agli utenti finali è consigliabile utilizzare i gruppi di ruoli di gestione e i criteri di assegnazione dei ruoli di gestione. Se si utilizzano i gruppi di ruolo e i criteri di assegnazione, il modello di autorizzazioni risulterà semplificato.

Per assegnare ruoli a un gruppo di ruoli di gestione o a un criterio di assegnazione del ruolo di gestione, vedere i seguenti argomenti:

Per aggiungere membri a un gruppo di ruolo o assegnare un criterio di assegnazione del ruolo a un utente finale, vedere i seguenti argomenti:

Per ulteriori informazioni, vedere Informazioni sul controllo di accesso basato sui ruoli.

Nota

Le assegnazioni dei ruoli si possono sommare. In pratica, tutti i ruoli vengono sommati in fase di valutazione. Se a un utente sono assegnati due ruoli e uno di questi contiene un cmdlet, a differenza dell'altro, il cmdlet è tuttora a disposizione dell'utente.
Per impostazione predefinita, le assegnazioni di ruolo non concedono la capacità di assegnare ruoli ad altri utenti. Per consentire a un utente di assegnare ruoli ad altri utenti o gruppi di protezione universali, vedere Assegnazioni del ruolo delegato.

Per aggiungere un'assegnazione di ruolo, è necessario utilizzare la shell.

Se si crea un'assegnazione con un ambito, questo sostituisce l'ambito di scrittura implicito del ruolo. L'ambito di lettura implicito del ruolo viene comunque applicato. Il nuovo ambito non è in grado di restituire oggetti esterni all'ambito di lettura implicito del ruolo. Per ulteriori informazioni, vedere Informazioni sugli ambiti del ruolo di gestione.

Tutte le procedure in questo argomento utilizzano il parametro SecurityGroup per assegnare i ruoli a un gruppo di protezione universale. Se si desidera assegnare il ruolo a un utente specifico, utilizzare il parametro User anziché il parametro SecurityGroup. La sintassi per ciascun comando è la stessa.

Per informazioni sulle altre attività di gestione relative ai ruoli, vedere Gestione delle autorizzazioni avanzate.

Creazione di un'assegnazione di ruolo priva di ambito

È necessario disporre delle autorizzazioni prima di poter eseguire questa procedura. Per visualizzare quali autorizzazioni sono necessarie, vedere "Assegnazioni ruolo" nell'argomento Autorizzazioni per la gestione del ruolo.

Nota

Non è possibile utilizzare EMC per creare un'assegnazione di ruolo priva di ambito.

È possibile creare un'assegnazione di ruolo senza alcun ambito. Quando si esegue questa operazione, vengono applicati gli ambiti di scrittura e di lettura impliciti del ruolo.

Utilizzare la seguente sintassi per assegnare un ruolo a un gruppo di protezione universale senza alcun ambito.

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name>

In questo esempio viene assegnato il ruolo dei server Exchange al gruppo di protezione universale SeattleAdmins.

New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers"

Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-ManagementRoleAssignment.

Creazione di un'assegnazione di ruolo con un ambito relativo predefinito

Nota

Non è possibile utilizzare EMC per creare un'assegnazione di ruolo con un ambito relativo predefinito.

Se un ambito relativo predefinito consente di soddisfare i requisiti aziendali, è possibile applicare tale ambito all'assegnazione di ruolo anziché creare un ambito personalizzato. Per un elenco degli ambiti predefiniti e le relative descrizioni, vedere Informazioni sugli ambiti del ruolo di gestione.

Utilizzare la seguente sintassi per assegnare un ruolo a un gruppo di protezione universale con un ambito predefinito:

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -RecipientRelativeWriteScope < MyDistributionGroups | Organization | Self >

In questo esempio viene assegnato il ruolo dei server Exchange al gruppo di protezione universale SeattleAdmins e viene applicato l'ambito predefinito Organization.

New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers" -RecipientRelativeWriteScope Organization

Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-ManagementRoleAssignment.

Creazione di un'assegnazione di ruolo con un ambito basato su un filtro destinatari

Nota

Non è possibile utilizzare EMC per creare un'assegnazione di ruolo con un ambito basato su un filtro destinatari.

Se è stato creato un ambito basato su un filtro destinatari e si desidera utilizzarlo con un'assegnazione di ruolo, è necessario includere l'ambito nel comando utilizzato per assegnare il ruolo a un gruppo di protezione universale utilizzando il parametro CustomRecipientWriteScope. Se si utilizza il parametro CustomRecipientWriteScope, non è possibile utilizzare il parametro RecipientOrganizationalUnitScope.

Prima di poter aggiungere un ambito ad un'assegnazione del ruolo, è necessario crearne uno. Per ulteriori informazioni, vedere Creazione di un ambito normale o esclusivo.

Utilizzare la seguente sintassi per assegnare un ruolo a un gruppo di protezione universale con un ambito basato su un filtro destinatari.

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -CustomRecipientWriteScope <role scope name>

In questo esempio viene assegnato il ruolo Mail Recipients al gruppo di protezione universale Seattle Recipient Admins e viene applicato l'ambito Seattle Recipients.

New-ManagementRoleAssignment -Name "Mail Recipients_Seattle Recipient Admins" -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -CustomRecipientWriteScope "Seattle Recipients"

Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-ManagementRoleAssignment.

Creazione di un'assegnazione di ruolo con un ambito di configurazione basato su un elenco o su un filtro server o database

Nota

Non è possibile utilizzare EMC per creare un'assegnazione di ruolo con un ambito di configurazione basato su un elenco o su un filtro server o database.

Se è stato creato un ambito basato su un elenco o su un filtro server o database e si desidera utilizzarlo con un'assegnazione di ruolo, è necessario includere l'ambito nel comando utilizzato per assegnare il ruolo a un gruppo di protezione universale utilizzando il parametro CustomConfigWriteScope.

Prima di poter aggiungere un ambito ad un'assegnazione del ruolo, è necessario crearne uno. Per ulteriori informazioni, vedere Creazione di un ambito normale o esclusivo.

Utilizzare la seguente sintassi per assegnare un ruolo a un gruppo di protezione universale con un ambito di configurazione.

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -CustomConfigWriteScope <role scope name>

In questo esempio viene assegnato il ruolo dei server Exchange al gruppo di protezione universale MailboxAdmins e viene applicato l'ambito Mailbox Servers.

New-ManagementRoleAssignment -Name "Exchange Servers_MailboxAdmins" -SecurityGroup MailboxAdmins -Role "Exchange Servers" -CustomConfigWriteScope "Mailbox Servers"

Nell'esempio precedente viene descritto come aggiungere un'assegnazione di ruolo con un ambito di configurazione server. La sintassi per aggiungere un ambito di configurazione di database è identica. Viene specificato il nome di un ambito di database anziché di un ambito server.

Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-ManagementRoleAssignment.

Creazione di un'assegnazione di ruolo con un ambito OU

Nota

Non è possibile utilizzare EMC per creare un'assegnazione di ruolo con un ambito di unità organizzativa (OU).

Se si desidera applicare l'ambito di scrittura di un ruolo a un'unità organizzativa, è possibile specificare l'unità organizzativa direttamente nel parametro RecipientOrganizationalUnitScope. Se si utilizza il parametro RecipientOrganizationalUnitScope, non è possibile utilizzare il parametro CustomRecipientWriteScope.

Utilizzare la sintassi seguente per assegnare un ruolo a un gruppo di protezione universale e limitare l'ambito di scrittura di un ruolo a un'unità organizzativa specifica.

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -RecipientOrganizationalUnitScope <OU>

In questo esempio viene assegnato il ruolo Mail Recipients al gruppo di protezione universale SalesRecipientAdmins e viene esaminata l'assegnazione all'unità organizzativa sales/users OU del dominio contoso.com.

New-ManagementRoleAssignment -Name "Mail Recipients_SalesRecipientAdmins" -SecurityGroup SalesRecipientAdmins -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users

Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-ManagementRoleAssignment.

Creazione di un'assegnazione di ruolo con un ambito di configurazione o destinatario esclusivo

Nota

Non è possibile utilizzare EMC per creare un'assegnazione di ruolo con un ambito destinatario o un ambito di configurazione esclusivi.

Per creare un'assegnazione di ruolo esclusiva con un ambito di configurazione o destinatario esclusivo, è possibile utilizzare le procedure descritte nelle sezioni Create a role assignment with a recipient filter-based scope e Create a role assignment with a server or database filter or list-based configuration scope. L'unica differenza nella creazione di un'assegnazione di ruolo con un ambito esclusivo riguarda la necessità di specificare i seguenti parametri esclusivi, valutando se si utilizza un ambito destinatario esclusivo o un ambito di configurazione esclusivo:

Ambiti esclusivi dei destinatari Utilizzare il parametro ExclusiveRecipientWriteScope, invece del parametro CustomRecipientWriteScope.
Ambiti esclusivi della configurazione Utilizzare il parametro ExclusiveConfigWriteScope, invece del parametro CustomConfigWriteScope.

Quando si esegue questa procedura, gli utenti a cui è assegnato il ruolo possono eseguire operazioni sugli oggetti inclusi nell'ambito esclusivo. Per ulteriori informazioni sugli ambiti esclusivi, vedere Informazioni sugli ambiti esclusivi.

Non è possibile creare un'assegnazione di ruolo utilizzando sia ambiti esclusivi sia ambiti regolari.

In questo esempio viene assegnato il ruolo Mail Recipients al gruppo di protezione universale Protected User Admins e viene applicato l'ambito esclusivo Protected Users.

New-ManagementRoleAssignment -Name "Mail Recipients_Protected User Admins" -SecurityGroup "Protected User Admins" -Role "Mail Recipients" -ExclusiveRecipientWriteScope "Protected Users"

Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-ManagementRoleAssignment.

Aggiunta di un ruolo ad un utente o a un gruppo di protezione universale

Creazione di un'assegnazione di ruolo priva di ambito

Creazione di un'assegnazione di ruolo con un ambito relativo predefinito

Creazione di un'assegnazione di ruolo con un ambito basato su un filtro destinatari

Creazione di un'assegnazione di ruolo con un ambito di configurazione basato su un elenco o su un filtro server o database

Creazione di un'assegnazione di ruolo con un ambito OU

Creazione di un'assegnazione di ruolo con un ambito di configurazione o destinatario esclusivo

Risorse aggiuntive