Adicionar uma função a um usuário ou USG
Aplica-se a: Exchange Server 2013
Atribuições de função de gerenciamento podem atribuir uma função de gerenciamento a um usuário ou grupo de segurança universal (USG). Ao atribuir uma função a um usuário ou USG, você permite que esses usuários executem tarefas dependentes de cmdlets ou scripts e seus parâmetros definidos na função de gerenciamento.
Se você quiser atribuir funções a um grupo de funções de gerenciamento ou a uma política de atribuição de função de gerenciamento, confira os seguintes tópicos:
Se você quiser adicionar membros a um grupo de funções ou atribuir uma política de atribuição de função a um usuário final, confira os seguintes tópicos:
Para mais informações, consulte Controle de acesso baseado em função de compreensão.
Procurando outras tarefas de gerenciamento relacionadas a funções? Consulte Permissões avançadas.
Do que você precisa saber para começar?
Tempo estimado para concluir cada procedimento: 5 minutos
Para executar este procedimento ou estes procedimentos, você precisa receber permissões. Para ver de que permissões você precisa, consulte o Entrada "Atribuições de função" no tópico Permissões de gerenciamento de função.
Você deve usar o Shell para executar estes procedimentos.
Embora você possa atribuir funções diretamente a usuários e USGs, o método recomendado de conceder permissões a administradores e usuários finais é usar grupos de funções de gerenciamento e políticas de atribuição de função de gerenciamento. Ao usar grupos de funções e políticas de atribuição, você simplifica o modelo de permissões.
As atribuições de função são aditivas. Isso significa que todas as funções são adicionadas quando são avaliadas. Se duas funções forem atribuídas a um usuário e uma função contiver um cmdlet, mas a outra não, o cmdlet ainda estará disponível para o usuário.
Por padrão, as atribuições de função não concedem a capacidade de atribuir funções a outros usuários. Para permitir que um usuário atribua funções a outros usuários ou USGs, consulte Atribuições de função delegar.
Se você criar uma atribuição com um escopo, o escopo substituirá o escopo de gravação implícito da função. Entretanto, o escopo de leitura implícito da função ainda se aplica. O novo escopo não pode retornar objetos fora do escopo de leitura implícito da função. Para obter mais informações, consulte Noções básicas sobre escopos da função de gerenciamento.
Todos os procedimentos neste tópico usam o parâmetro SecurityGroup para atribuir funções a um USG. Se você quiser atribuir a função a um usuário específico, use o parâmetro Usuário em vez do parâmetro SecurityGroup . Toda a outra sintaxe para cada comando é a mesma.
Para informações sobre atalhos de teclado que possam se aplicar aos procedimentos neste tópico, confira Atalhos de teclado no Centro de Administração do Exchange.
Dica
Está com problemas? Peça ajuda nos fóruns do Exchange. Visite os fóruns no Exchange Server.
Criar uma atribuição de função sem escopo
Você pode criar uma atribuição de função sem escopo. Quando você faz isso, os escopos implícitos de leitura e gravação implícitos da função se aplicam.
Use a sintaxe a seguir para atribuir uma função a um USG sem qualquer escopo.
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name>
Este exemplo atribui a função Exchange Servers ao USG do SeattleAdmins.
New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers"
Para informações detalhadas de sintaxes e de parâmetros, consulte New-ManagementRoleAssignment.
Criar uma atribuição de função com um escopo relativo predefinido
Se um escopo relativo predefinido atender aos seus requisitos de negócios, você poderá aplicar esse escopo à atribuição de função em vez de criar um escopo personalizado. Para uma lista de escopos predefinidos e suas descrições, consulte Noções básicas sobre escopos da função de gerenciamento.
Use a sintaxe a seguir para atribuir uma função a um USG com um escopo predefinido.
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -RecipientRelativeWriteScope < MyDistributionGroups | Organization | Self >
Este exemplo atribui a função Exchange Servers ao USG do SeattleAdmins e aplica o escopo predefinido da Organização.
New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers" -RecipientRelativeWriteScope Organization
Para informações detalhadas de sintaxes e de parâmetros, consulte New-ManagementRoleAssignment.
Criar uma atribuição de função com um escopo baseado em filtro do destinatário
Se você criou um escopo baseado em filtro do destinatário e deseja usá-lo com uma atribuição de função, precisará incluir o escopo no comando usado para atribuir a função a um USG usando o parâmetro CustomRecipientWriteScope . Se o parâmetro CustomRecipientWriteScope for utilizado, não é possível usar o parâmetro RecipientOrganizationalUnitScope.
Antes de adicionar um escopo a uma atribuição de função, você precisa criar um. Para obter mais informações, consulte Criar um escopo regular ou exclusivo.
Use a sintaxe a seguir para atribuir uma função a um USG com um escopo baseado em filtro do destinatário.
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -CustomRecipientWriteScope <role scope name>
Este exemplo atribui a função Destinatários de Email ao USG dos Administradores de Destinatários de Seattle e aplica o escopo de Destinatários de Seattle.
New-ManagementRoleAssignment -Name "Mail Recipients_Seattle Recipient Admins" -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -CustomRecipientWriteScope "Seattle Recipients"
Para informações detalhadas de sintaxes e de parâmetros, consulte New-ManagementRoleAssignment.
Criar uma atribuição de função com um servidor ou um filtro de banco de dados ou um escopo de configuração baseado em lista
Se você criou um servidor ou um filtro de banco de dados ou um escopo de configuração baseado em lista e deseja usá-lo com uma atribuição de função, precisará incluir o escopo no comando usado para atribuir a função a um USG usando o parâmetro CustomConfigWriteScope .
Antes de adicionar um escopo a uma atribuição de função, você precisa criar um. Para obter mais informações, consulte Criar um escopo regular ou exclusivo.
Use a sintaxe a seguir para atribuir uma função a um USG com um escopo de configuração.
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -CustomConfigWriteScope <role scope name>
Este exemplo atribui a função Exchange Servers ao USG MailboxAdmins e aplica o escopo Servidores de Caixa de Correio.
New-ManagementRoleAssignment -Name "Exchange Servers_MailboxAdmins" -SecurityGroup MailboxAdmins -Role "Exchange Servers" -CustomConfigWriteScope "Mailbox Servers"
O exemplo anterior mostra como adicionar uma atribuição de função com um escopo de configuração do servidor. A sintaxe para adicionar um escopo de configuração de banco de dados é a mesma. Especifique o nome de um escopo de banco de dados em vez de um escopo de servidor.
Para informações detalhadas de sintaxes e de parâmetros, consulte New-ManagementRoleAssignment.
Criar uma atribuição de função com um escopo de U
Se você quiser escopo do escopo de gravação de uma função para uma OU (unidade organizacional), poderá especificar a OU no parâmetro RecipientOrganizationalUnitScope diretamente. Se o parâmetro RecipientOrganizationalUnitScope for utilizado, não é possível usar o parâmetro CustomRecipientWriteScope.
Use a sintaxe a seguir para atribuir uma função a um USG e restringir o escopo de gravação de uma função a uma OU específica.
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -RecipientOrganizationalUnitScope <OU>
Este exemplo atribui a função Destinatários de Email ao SALESRecipientAdmins USG e escopos da atribuição para a OU de vendas/usuários no domínio contoso.com.
New-ManagementRoleAssignment -Name "Mail Recipients_SalesRecipientAdmins" -SecurityGroup SalesRecipientAdmins -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users
Para informações detalhadas de sintaxes e de parâmetros, consulte New-ManagementRoleAssignment.
Criar uma atribuição de função com um destinatário exclusivo ou escopo de configuração
Para criar uma atribuição de função exclusiva com um destinatário exclusivo ou escopo de configuração, os mesmos procedimentos fornecidos na atribuição Criar uma função com um escopo baseado em filtro do destinatário e Criar uma atribuição de função com um servidor ou filtro de banco de dados ou seções de escopo de configuração baseadas em lista podem ser usados. A única diferença é que quando você cria uma atribuição de função com um escopo exclusivo, você deve especificar os seguintes parâmetros exclusivos, dependendo se você estiver usando um escopo de destinatário exclusivo ou um escopo de configuração exclusivo:
Escopos exclusivos do destinatário: use o parâmetro ExclusiveRecipientWriteScope em vez do parâmetro CustomRecipientWriteScope .
Escopos de configuração exclusivos: use o parâmetro ExclusiveConfigWriteScope em vez do parâmetro CustomConfigWriteScope .
Quando você executa esse procedimento, os atribuidores de função atribuídos à função podem executar ações em relação aos objetos incluídos no escopo exclusivo. Para mais informações sobre escopos exclusivos, consulte Noções básicas sobre escopos exclusivos.
Você não pode criar uma atribuição de função com escopos exclusivos e regulares.
Este exemplo atribui a função Destinatários de Email ao USG dos Administradores de Usuário Protegido e aplica o escopo exclusivo Usuários Protegidos.
New-ManagementRoleAssignment -Name "Mail Recipients_Protected User Admins" -SecurityGroup "Protected User Admins" -Role "Mail Recipients" -ExclusiveRecipientWriteScope "Protected Users"
Para informações detalhadas de sintaxes e de parâmetros, consulte New-ManagementRoleAssignment.