Gerenciar grupos de funções
Aplica-se a: Exchange Server 2013
Este tópico mostra-lhe como adicionar, remover, copiar e ver grupos de funções de gestão no Microsoft Exchange Server 2013. Também mostra como adicionar, remover e listar funções de gestão em grupos de funções e como alterar âmbitos de gestão e delegados em grupos de funções. Para obter mais informações sobre grupos de funções no Exchange 2013, veja Compreender os grupos de funções de gestão.
Para tarefas de gestão adicionais relacionadas com grupos de funções, veja Permissões.
Do que você precisa saber para começar?
Tempo estimado para concluir cada procedimento: 5 a 10 minutos
Para executar este procedimento ou estes procedimentos, você precisa receber permissões. Para ver de que permissões você precisa, consulte o Entrada "Grupos de função" no tópico Permissões de gerenciamento de função .
Para informações sobre atalhos de teclado que possam se aplicar aos procedimentos neste tópico, confira Atalhos de teclado no Centro de Administração do Exchange.
Dica
Está com problemas? Peça ajuda nos fóruns do Exchange. Visite os fóruns no Exchange Server.
Criar um grupo de funções
Se quiser personalizar as permissões que pode atribuir a um grupo de utilizadores, crie um novo grupo de funções de gestão personalizada.
Utilizar o EAC para criar um grupo de funções
No Centro de administração do Exchange (EAC), navegue paraFunções de Administradorde Permissões> e, em seguida, clique em .
Na janela Novo grupo de funções, forneça um nome para o novo grupo de funções.
Pode selecionar as funções que pretende atribuir ao grupo de funções e os membros que pretende que sejam adicionados ao grupo de funções agora ou pode fazê-lo noutra altura.
Selecione o escopo de gravação que deseja aplicar ao novo grupo de funções.
Clique em Salvar para criar o grupo de funções.
Utilizar a Shell para criar um grupo de funções
Para criar um grupo de funções, veja a secção Exemplos em New-RoleGroup.
Como sabe que isto funcionou?
Para verificar se criou um grupo de funções com êxito, faça o seguinte:
No EAC, navegue paraFunções de Administradorde Permissões>.
Verifique se o novo grupo de funções aparece na lista de grupos de funções e, em seguida, selecione-o.
Verifique se os membros, funções atribuídas e âmbito que especificou no novo grupo de funções estão listados no painel de detalhes do grupo de funções.
Copiar um grupo de funções
Utilizar o EAC para copiar um grupo de funções
Se tiver um grupo de funções que contenha as permissões que pretende conceder aos utilizadores, mas quiser aplicar um âmbito de gestão diferente ou remover ou adicionar uma ou duas funções de gestão sem ter de adicionar todas as outras funções manualmente, pode copiar o grupo de funções existente.
Importante
Não pode utilizar o EAC para copiar um grupo de funções se tiver utilizado a Shell de Gestão do Exchange para configurar vários âmbitos de função de gestão ou âmbitos exclusivos no grupo de funções. Se você configurou escopos múltiplos ou escopos exclusivos no grupo de funções, é necessário usar os procedimentos do Shell, abordados posteriormente neste tópico, para copiar o grupo de funções. Para mais informações sobre escopos da função de gerenciamento, consulte Noções básicas sobre escopos da função de gerenciamento.
No EAC, navegue paraFunções de Administradorde Permissões>.
Selecione o grupo de funções que pretende copiar e, em seguida, clique em Copiar.
Na janela Novo grupo de funções, forneça um nome para o novo grupo de funções.
Examine as funções que foram copiadas para o novo grupo de funções. Adicione ou remova funções conforme necessário.
Examine o escopo de gravação e altere-o conforme necessário.
Examine os membros que foram copiados para o novo grupo de funções. Adicionar ou remover membros conforme necessário.
Clique em Salvar para criar o grupo de funções.
Usar o Shell para copiar um grupo de funções sem escopo
Armazene o grupo de funções que pretende copiar numa variável com a seguinte sintaxe.
$RoleGroup = Get-RoleGroup <name of role group to copy>
Crie o novo grupo de funções e adicione também membros ao grupo de funções e especifique quem pode delegar o novo grupo de funções a outros utilizadores, utilizando a seguinte sintaxe.
New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -Members <member1, member2, member3...> -ManagedBy <user1, user2, user3...>
Por exemplo, os comandos a seguir copiam o grupo de funções Gerenciamento da organização e nomeiam o novo grupo de funções como "Gerenciamento da organização limitado". Também adicionam os membros Isabelle, Carter e Lukas e podem ser delegados por Jenny e Katie.
$RoleGroup = Get-RoleGroup "Organization Management"
New-RoleGroup "Limited Organization Management" -Roles $RoleGroup.Roles -Members Isabelle, Carter, Lukas -ManagedBy Jenny, Katie
Após o novo grupo de funções ser criado, é possível adicionar ou remover funções, alterar o escopo de atribuições de função na função e muito mais.
Para a sintaxe detalhada e informações sobre o parâmetro, consulte Get-RoleGroup e New-RoleGroup.
Usar o Shell para copiar um grupo de funções com um escopo personalizado
Armazene o grupo de funções que pretende copiar numa variável com a seguinte sintaxe.
$RoleGroup = Get-RoleGroup <name of role group to copy>
Crie o novo grupo de funções com um âmbito personalizado com a seguinte sintaxe.
New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuraiton scope name>
Por exemplo, os comandos a seguir copiam o grupo de funções Gerenciamento da organização e criam um novo grupo de funções chamado Gerenciamento da organização de Vancouver com o escopo de destinatário dos Usuários de Vancouver e o escopo de configuração dos Servidores de Vancouver.
$RoleGroup = Get-RoleGroup "Organization Management"
New-RoleGroup "Vancouver Organization Management" -Roles $RoleGroup.Roles -CustomRecipientWriteScope "Vancouver Users" -CustomConfigWriteScope "Vancouver Servers"
Também pode adicionar membros ao grupo de funções quando o criar utilizando o parâmetro Membros , conforme mostrado em Utilizar a Shell para copiar um grupo de funções sem âmbito anteriormente neste tópico. Para mais informações sobre escopos de gerenciamento, confira Noções básicas sobre escopos da função de gerenciamento.
Após o novo grupo de funções ser criado, é possível adicionar ou remover funções, alterar o escopo de atribuições de função na função e executar outras tarefas.
Para a sintaxe detalhada e informações sobre o parâmetro, consulte Get-RoleGroup e New-RoleGroup.
Usar o Shell para copiar um grupo de funções com um escopo de UO
Armazene o grupo de funções que pretende copiar numa variável com a seguinte sintaxe.
$RoleGroup = Get-RoleGroup <name of role group to copy>
Crie o novo grupo de funções com um âmbito personalizado com a seguinte sintaxe.
New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -RecipientOrganizationalUnitScope <OU name>
Por exemplo, os seguintes comandos copiam o grupo de funções Gerenciamento de destinatários e criam um novo grupo de funções chamado Gerenciamento de destinatários de Toronto que permite o gerenciamento de usuários somente na UO de Usuários de Toronto.
$RoleGroup = Get-RoleGroup "Recipient Management"
New-RoleGroup "Toronto Recipient Management" -Roles $RoleGroup.Roles -RecipientOrganizationalUnitScope "contoso.com/Toronto Users"
Também pode adicionar membros ao grupo de funções quando o criar utilizando o parâmetro Membros , conforme mostrado em Utilizar a Shell para copiar um grupo de funções sem âmbito anteriormente neste tópico. Para mais informações sobre escopos de gerenciamento, confira Noções básicas sobre escopos da função de gerenciamento.
Após o novo grupo de funções ser criado, é possível adicionar ou remover funções, alterar o escopo de atribuições de função na função e muito mais.
Para a sintaxe detalhada e informações sobre o parâmetro, consulte Get-RoleGroup e New-RoleGroup.
Como sabe que isto funcionou?
Para verificar se copiou com êxito um grupo de funções, faça o seguinte:
No EAC, navegue paraFunções de Administradorde Permissões>.
Verifique se o grupo de funções copiados aparece na lista de grupos de funções e, em seguida, selecione-o.
Verifique se os membros, as funções atribuídas e o âmbito que especificou no grupo de funções copiados estão listados no painel de detalhes do grupo de funções.
Remover um grupo de funções
Se um grupo de função que você criou não for mais necessário, você pode excluí-lo. Quando você remove um grupo de função, as atribuições de função de gerenciamento entre o grupo de função e as funções de gerenciamento são removidas. As funções de gerenciamento não são excluídas. Se um usuário depender do grupo de função para ter acesso a um recurso, esse usuário não poderá mais acessar o recurso. Não é possível remover grupos de funções internos.
Utilizar o EAC para remover um grupo de funções
No EAC, navegue paraFunções de Administradorde Permissões>.
Selecione o grupo de funções que pretende remover e, em seguida, clique no .
Certifique-se de que pretende remover o grupo de funções selecionado e, em caso afirmativo, responda Sim ao aviso.
Use o Shell para remover um grupo de função
Para remover um grupo de funções, veja a secção Exemplos em Remove-RoleGroup.
Exibir grupos de funções
Pode ver uma lista de grupos de funções ou as informações detalhadas sobre um grupo de funções específico que existe na sua organização.
Utilizar o EAC para ver uma lista de grupos de funções e detalhes do grupo de funções
No EAC, navegue paraFunções de Administradorde Permissões>. Todos os grupos de funções em sua organização são listadas aqui.
Selecione um grupo de funções para ver os membros, as funções atribuídas e o âmbito configurados no grupo de funções.
Utilizar a Shell para ver uma lista de grupos de funções e detalhes do grupo de funções
Para ver uma lista de grupos de funções, veja a secção Exemplos em Get-RoleGroup.
Adicionar uma função a um grupo de funções
Adicionar uma função de gestão a um grupo de funções é a melhor e mais simples forma de conceder permissões a um grupo de administradores ou utilizadores especializados. Se quiser dar aos utilizadores que são membros de um grupo de funções a capacidade de gerir uma funcionalidade, adicione a função de gestão que gere a funcionalidade ao grupo de funções. Após a função ser adicionada, os membros do grupo de funções recebem as permissões fornecidas pela função.
Utilizar o EAC para adicionar uma função de gestão a um grupo de funções
Importante
Não pode utilizar o EAC para adicionar funções a um grupo de funções se tiver utilizado a Shell para configurar vários âmbitos de função de gestão ou âmbitos exclusivos no grupo de funções. Se tiver configurado vários âmbitos ou âmbitos exclusivos no grupo de funções, terá de utilizar os procedimentos da Shell mais adiante neste tópico para adicionar funções ao grupo de funções. Para mais informações sobre escopos da função de gerenciamento, consulte Noções básicas sobre escopos da função de gerenciamento.
No EAC, navegue paraFunções de Administradorde Permissões>.
Selecione o grupo de funções ao qual pretende adicionar uma função e, em seguida, clique no .
Na secção Funções , selecione as funções que pretende adicionar ao grupo de funções.
Quando terminar de adicionar funções ao grupo de funções, clique em Guardar.
Utilizar a Shell para criar uma atribuição de função sem âmbito
Pode criar uma atribuição de função sem âmbito entre uma função e um grupo de funções. Ao fazê-lo, aplicam-se os âmbitos implícitos de leitura e escrita implícita da função.
Utilize a seguinte sintaxe para atribuir uma função sem qualquer âmbito a um grupo de funções. Um nome de atribuição de função é criado automaticamente se não especificar um.
New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name>
Este exemplo atribui a função de gestão Regras de Transporte ao grupo de funções Conformidade de Seattle.
New-ManagementRoleAssignment -SecurityGroup "Seattle Compliance" -Role "Transport Rules"
Para informações detalhadas de sintaxes e de parâmetros, consulte New-ManagementRoleAssignment.
Utilizar a Shell para criar uma atribuição de função com um âmbito predefinido
Se um âmbito predefinido cumprir os seus requisitos empresariais, pode aplicar esse âmbito à atribuição de função em vez de criar um novo. Para uma lista de escopos predefinidos e suas descrições, consulte Noções básicas sobre escopos da função de gerenciamento.
Para obter mais informações sobre atribuições de funções, veja Compreender as atribuições de funções de gestão.
Utilize a seguinte sintaxe para atribuir uma função a um grupo de funções com um âmbito predefinido. Um nome de atribuição de função é criado automaticamente se não especificar um.
New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -RecipientRelativeWriteScope < MyGAL | MyDistributionGroups | Organization | Self >
Este exemplo atribui a função Controlo de Mensagens ao grupo de funções de Suporte empresarial e aplica o âmbito predefinido da Organização.
New-ManagementRoleAssignment -SecurityGroup "Enterprise Support" -Role "Message Tracking" -RecipientRelativeWriteScope Organization
Para informações detalhadas de sintaxes e de parâmetros, consulte New-ManagementRoleAssignment.
Utilizar a Shell para criar uma atribuição de função com um âmbito baseado no filtro do destinatário
Se tiver criado um âmbito baseado no filtro do destinatário, terá de incluir o âmbito no comando utilizado para atribuir a função a um grupo de funções com o parâmetro CustomRecipientWriteScope .
Também pode incluir um âmbito de escrita de configuração quando cria uma atribuição de função que tem um âmbito de escrita de destinatário.
Esta função destacada para o usuário tem escopos implícitos que não podem ser modificados. Portanto, você deve adicionar escopos personalizados a atribuições de função que atribuem esta função às diretivas de atribuição de função, grupos de função, USGs, ou usuários.
Utilize a seguinte sintaxe para atribuir uma função a um grupo de funções com um âmbito baseado no filtro do destinatário. Um nome de atribuição de função é criado automaticamente se não especificar um.
New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -CustomRecipientWriteScope <role scope name>
Este exemplo atribui a função Controlo de Mensagens ao grupo de funções Admins do Destinatário de Seattle e aplica o âmbito Destinatários de Seattle.
New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Message Tracking" -CustomRecipientWriteScope "Seattle Recipients"
Para informações detalhadas de sintaxes e de parâmetros, consulte New-ManagementRoleAssignment.
Utilizar a Shell para criar uma atribuição de função com um âmbito de configuração
Se tiver criado um filtro de configuração de servidor ou base de dados ou um âmbito baseado na lista, terá de incluir o âmbito no comando utilizado para atribuir a função a um grupo de funções com o parâmetro CustomConfigWriteScope .
Também pode incluir um âmbito de escrita do destinatário quando cria uma atribuição de função que tem um âmbito de escrita de configuração.
Escopo de gravação da configuração: determina quais membros dos objetos de destinatários e organizacionais do grupo de funções tem permissão para fazer modificações no exADNoMk.
Utilize a seguinte sintaxe para atribuir uma função a um grupo de funções com um âmbito de configuração. Um nome de atribuição de função é criado automaticamente se não especificar um.
New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -CustomConfigWriteScope <role scope name>
Este exemplo atribui a função Bases de Dados ao grupo de funções Administradores do Servidor de Seattle e aplica o âmbito Servidores de Seattle.
New-ManagementRoleAssignment -SecurityGroup "Seattle Server Admins" -Role "Databases" -CustomConfigWriteScope "Seattle Servers"
Para informações detalhadas de sintaxes e de parâmetros, consulte New-ManagementRoleAssignment.
Utilizar a Shell para criar uma atribuição de função com um âmbito de UO
Se quiser definir o âmbito de escrita de uma função para uma UO, pode especificar a UO no parâmetro RecipientOrganizationalUnitScope diretamente.
Escopo de gravação da configuração: determina quais membros dos objetos de destinatários e organizacionais do grupo de funções tem permissão para fazer modificações no exADNoMk.
Utilize o seguinte comando para atribuir uma função a um grupo de funções e restringir o âmbito de escrita de uma função a uma UO específica. Um nome de atribuição de função é criado automaticamente se não especificar um.
New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -RecipientOrganizationalUnitScope <OU>
Este exemplo atribui a função Destinatários de Correio ao grupo de funções Administradores Destinatários de Seattle e define o âmbito da atribuição para a UO Sales\Users no domínio Contoso.com.
New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users
Para informações detalhadas de sintaxes e de parâmetros, consulte New-ManagementRoleAssignment.
Como sabe que isto funcionou?
Para verificar se adicionou funções com êxito a um grupo de funções, faça o seguinte:
No EAC, navegue paraFunções de Administradorde Permissões>.
Selecione o grupo de funções ao qual adicionou funções. No painel de detalhes do grupo de funções, verifique se as funções que adicionou estão listadas.
Remover uma função de um grupo de funções
Remover uma função de um grupo de funções de gestão é a melhor e mais simples forma de revogar as permissões concedidas a um grupo de administradores ou utilizadores especializados. Se não quiser que os administradores ou utilizadores especializados tenham permissões para gerir uma funcionalidade, remova a função de gestão do grupo de funções de gestão que gere as permissões. Depois de a função ser removida, os membros do grupo de funções deixarão de ter permissões para gerir a funcionalidade.
Observação
Alguns grupos de funções, como o grupo de funções Gestão da Organização, restringem as funções que podem ser removidas de um grupo de funções. Para obter mais informações, veja Compreender os grupos de funções de gestão.
Se um administrador for membro de outro grupo de funções que contenha funções de gestão que concedam permissões para gerir a funcionalidade, tem de remover o administrador dos outros grupos de funções ou remover a função que concede permissões para gerir a funcionalidade dos outros grupos de funções.
Utilizar o EAC para remover uma função de gestão de um grupo de funções
Importante
Não pode utilizar o EAC para remover funções de um grupo de funções se tiver utilizado a Shell para configurar vários âmbitos ou âmbitos exclusivos no grupo de funções. Se tiver configurado vários âmbitos ou âmbitos exclusivos no grupo de funções, terá de utilizar os procedimentos da Shell mais adiante neste tópico para remover funções do grupo de funções. Para mais informações sobre escopos da função de gerenciamento, consulte Noções básicas sobre escopos da função de gerenciamento.
No EAC, navegue paraFunções de Administradorde Permissões>.
Selecione o grupo de funções do qual pretende remover uma função e, em seguida, clique no .
Na secção Funções , selecione as funções que pretende remover do grupo de funções.
Quando terminar de remover funções do grupo de funções, clique em Guardar.
Utilizar a Shell para remover uma função de um grupo de funções
Pode remover funções de grupos de funções ao obter a atribuição de função de gestão associada com o cmdlet Get-ManagementRoleAssignment e, em seguida, encaminhar a atribuição de função devolvida ao cmdlet Remove-ManagementRoleAssignment . A menos que pretenda remover atribuições de funções regulares e delegadas ao mesmo tempo, especifique o parâmetro Delegating para especificar se pretende remover atribuições de funções regulares ou delegadas.
Para saber mais sobre atribuições de função regulares e de delegação, consulte Noções básicas sobre as atribuições de função de gerenciamento.
Esse procedimento usa canalização. Para obter mais informações sobre pipelining, consulte about_Pipelines.
Para remover uma função de um grupo de funções, utilize a seguinte sintaxe.
Get-ManagementRoleAssignment -RoleAssignee <role group name> -Role <role name> -Delegating <$true | $false> | Remove-ManagementRoleAssignment
Este exemplo remove a função Grupos de Distribuição, que permite aos administradores gerir grupos de distribuição, do grupo de funções Administradores destinatários de Seattle. Uma vez que queremos remover a atribuição de função que fornece permissões para gerir grupos de distribuição, o parâmetro Delegating está definido como $False
, que devolve apenas atribuições de funções regulares.
Get-ManagementRoleAssignment -RoleAssignee "Seattle Recipient Administrators" -Role "Distribution Groups" -Delegating $false | Remove-ManagementRoleAssignment
Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Remove-ManagementRoleAssignment.
Como sabe que isto funcionou?
Para verificar se removeu com êxito as funções de um grupo de funções, faça o seguinte:
No EAC, navegue paraFunções de Administradorde Permissões>.
Selecione o grupo de funções do qual removeu funções. No painel de detalhes do grupo de funções, verifique se as funções que removeu já não estão listadas.
Alterar o âmbito de um grupo de funções
As atribuições de função de gerenciamento entre um grupo de funções e uma função contêm escopos de gerenciamento, que determinam quais objetos são disponibilizados aos membros desse grupo de funções. Ao alterar o escopo de gravação em um grupo de funções, é possível alterar quais objetos são disponibilizados aos membros do grupo de funções para criação, alteração ou remoção. Não é possível alterar o escopo de leitura em um grupo de funções.
O Exchange 2013 inclui âmbitos que são aplicados por predefinição a atribuições de funções quando não são criados âmbitos personalizados. Se você deseja usar um escopo personalizado com uma atribuição de função em um grupo de funções, primeiramente, é necessário criá-lo. Para obter mais informações sobre a criação de âmbitos personalizados, que é uma tarefa avançada, veja Criar um âmbito regular ou exclusivo.
Para obter mais informações sobre âmbitos e atribuições de funções de gestão no Exchange 2013, consulte os seguintes tópicos:
Utilizar o EAC para alterar o âmbito num grupo de funções
Quando utiliza o EAC para alterar o âmbito num grupo de funções, está, na verdade, a alterar o âmbito em todas as atribuições de funções entre o grupo de funções e cada uma das funções de gestão atribuídas ao grupo de funções. Se quiser alterar o âmbito em atribuições de funções específicas, tem de utilizar os procedimentos da Shell mais à frente neste tópico.
Importante
Não pode utilizar o EAC para gerir âmbitos em atribuições de funções entre funções e um grupo de funções se tiver utilizado a Shell para configurar vários âmbitos ou âmbitos exclusivos nessas atribuições de funções. Se você configurou escopos múltiplos ou escopos exclusivos nessas atribuições de função, é necessário usar os procedimentos do Shell abordados posteriormente neste tópico para gerenciamento de escopos. Para mais informações sobre escopos da função de gerenciamento, consulte Noções básicas sobre escopos da função de gerenciamento.
No EAC, navegue paraFunções de Administradorde Permissões>.
Selecione o grupo de funções no qual pretende alterar o âmbito e, em seguida, clique em .
Selecione uma das seguintes opções de Escopo de Gravação:
Um âmbito de escrita na caixa pendente, onde pode selecionar o âmbito de escrita predefinido ou um âmbito de escrita personalizado.
Unidade organizacional: selecione esta opção e forneça uma unidade organizacional (UO) se quiser definir o âmbito deste grupo de funções para uma UO.
Clique em Salvar para salvar as alterações feitas no grupo de funções.
Usar o Shell para alterar o escopo de todas as atribuições de função de um grupo de funções ao mesmo tempo
As atribuições de função entre o grupo de funções e as funções atribuídas a ele podem usar o escopo implícito obtido das próprias funções, do mesmo escopo personalizado ou de diferentes escopos personalizados. Para obter mais informações sobre atribuições de funções, veja Compreender as atribuições de funções de gestão.
Os escopos nas atribuições de função são gerenciados usando-se o cmdlet Set-ManagementRoleAssignment. Não é possível gerenciar escopos usando o cmdlet de Set-RoleGroup.
Para alterar o escopo de todas as atribuições de função entre um grupo de funções e um conjunto de funções de gerenciamento ao mesmo tempo, é preciso primeiro recuperar as atribuições de função do grupo e definir o novo escopo em cada uma das atribuições. Isso pode ser feito utilizando-se o cmdlet Get-ManagementRoleAssignment para recuperar as atribuições e enviá-las ao cmdlet Set-ManagementRoleAssignment.
Esse procedimento usa os conceitos de pipelining e a opção WhatIf. Para mais informações, confira os seguintes tópicos:
Para definir o escopo em todas as atribuições de função de um grupo de funções ao mesmo tempo, use a sintaxe na sequência.
Get-ManagementRoleAssignment -RoleAssignee <name of role group> | Set-ManagementRoleAssignment -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name> -RecipientRelativeScopeWriteScope < MyDistributionGroups | Organization | Self> -ExclusiveRecipientWriteScope <exclusive recipient scope name> -ExclusiveConfigWriteScope <exclusive configuration scope name> -RecipientOrganizationalUnitScope <organizational unit>
Use apenas os parâmetros de que você precisa para configurar o escopo que deseja usar. Por exemplo, se quiser alterar o escopo do destinatário de todas as atribuições de função no grupo de funções Gerenciamento de Destinatários de Venda para Funcionários de Vendas Diretas, use o seguinte comando.
Get-ManagementRoleAssignment -RoleAssignee "Sales Recipient Management" | Set-ManagementRoleAssignment -CustomRecipientWriteScope "Direct Sales Employees"
Observação
Você pode usar a opção WhatIf para verificar se apenas as atribuições de função que deseja modificar foram alteradas. Execute o comando anterior com a opção WhatIf para verificar os resultados e remova a opção WhatIf para aplicar as alterações.
Para obter mais informações sobre como alterar as atribuições de funções de gestão, veja Alterar uma atribuição de função.
Para informações detalhadas de sintaxes e de parâmetros, consulte Get-ManagementRoleAssignment.
Usar o Shell para alterar o escopo de cada atribuição de função de um grupo de funções
As atribuições de função entre o grupo de funções e as funções atribuídas a ele podem usar o escopo implícito obtido das próprias funções, do mesmo escopo personalizado ou de diferentes escopos personalizados. Para obter mais informações sobre atribuições de funções, veja Compreender as atribuições de funções de gestão.
Os escopos nas atribuições de função são gerenciados usando-se o cmdlet Set-ManagementRoleAssignment. Não é possível gerenciar escopos usando o cmdlet de Set-RoleGroup.
Esse procedimento usa os conceitos de pipelining e o cmdlet Format-List. Para mais informações, confira os seguintes tópicos:
Para alterar o escopo de uma atribuição de função entre um grupo de funções e uma função de gerenciamento, localize primeiro o nome da atribuição de função e defina o escopo na atribuição de função.
Para encontrar os nomes de todas as funções de atribuição em um grupo de funções, use o comando a seguir. Ao encaminhar as atribuições de função de gerenciamento ao cmdlet Format-List, você poderá exibir o nome completo da atribuição.
Get-ManagementRoleAssignment -RoleAssignee <role group name> | Format-List Name
Localize o nome de atribuição de função que deseja alterar. Utilize o nome da atribuição de função no passo seguinte.
Para definir o escopo em uma atribuição individual, use a sintaxe a seguir.
Set-ManagementRoleAssignment <role assignment name> -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name> -RecipientRelativeScopeWriteScope < MyDistributionGroups | Organization | Self> -ExclusiveRecipientWriteScope <exclusive recipient scope name> -ExclusiveConfigWriteScope <exclusive configuration scope name> -RecipientOrganizationalUnitScope <organizational unit>
Use apenas os parâmetros de que você precisa para configurar o escopo que deseja usar. Por exemplo, se quiser alterar o escopo do destinatário da atribuição de função Mail Recipients_Sales Recipient Management para Todos os Funcionários de Vendas, use o seguinte comando.
Set-ManagementRoleAssignment "Mail Recipients_Sales Recipient Management" -CustomRecipientWriteScope "All Sales Employees"
Para obter mais informações sobre como alterar as atribuições de funções de gestão, veja Alterar uma atribuição de função.
Para informações detalhadas de sintaxes e de parâmetros, consulte Set-ManagementRoleAssignment.
Como sabe que isto funcionou?
Para verificar se alterou com êxito o âmbito de uma atribuição de função num grupo de funções, faça o seguinte:
Se utilizou o EAC para configurar o âmbito no grupo de funções, faça o seguinte:
No EAC, navegue paraFunções de Administradorde Permissões>. Todos os grupos de funções na sua organização estão listados aqui.
Selecione um grupo de funções para ver o âmbito configurado no grupo de funções.
Se utilizou a Shell para configurar o âmbito no grupo de funções, faça o seguinte:
Execute o seguinte comando no Shell.
Get-ManagementRoleAssignment -RoleAssignee <role group name> | Format-Table *WriteScope
Verifique se o âmbito de escrita nas atribuições de funções foi alterado para o âmbito que especificou.
Adicionar ou remover um delegado do grupo de funções
Os delegados do grupo de funções são utilizadores ou grupos de segurança universal (USGs) que podem adicionar ou remover membros de um grupo de funções ou alterar as propriedades de um grupo de funções. Ao adicionar ou remover delegados do grupo de funções, pode controlar quem tem permissão para gerir um grupo de funções.
Importante
Depois de adicionar um delegado a um grupo de funções, o grupo de funções só pode ser gerido pelos delegados no grupo de funções ou pelos utilizadores atribuídos, direta ou indiretamente, à função de gestão da Gestão de Funções.
Se um utilizador for atribuído, direta ou indiretamente, à função Gestão de Funções e não for adicionado como delegado do grupo de funções, o utilizador tem de utilizar o comutador BypassSecurityGroupManagerCheck nos cmdlets Add-RoleGroupMember, Remove-RoleGroupMember, Update-RoleGroupMember e Set-RoleGroup para gerir um grupo de funções.
Observação
Não pode utilizar o EAC para adicionar um delegado a um grupo de funções.
Utilizar a Shell para adicionar um delegado a um grupo de funções
Para alterar a lista de delegados num grupo de funções, utilize o parâmetro ManagedBy no cmdlet Set-RoleGroup . O parâmetro ManagedBy substitui toda a lista de delegados no grupo de funções. Se quiser adicionar delegados ao grupo de funções em vez de substituir toda a lista de delegados, utilize os seguintes passos:
Armazene o grupo de funções numa variável com o seguinte comando.
$RoleGroup = Get-RoleGroup <role group name>
Adicione o delegado ao grupo de funções armazenado na variável com o seguinte comando.
$RoleGroup.ManagedBy += (Get-User <user to add>).Identity
Observação
Utilize o cmdlet Get-Group se quiser adicionar um USG.
Repita o Passo 2 para cada delegado que pretende adicionar.
Aplique a nova lista de delegados ao grupo de funções real com o seguinte comando.
Set-RoleGroup <role group name> -ManagedBy $RoleGroup.ManagedBy
Este exemplo adiciona o utilizador David Strome como delegado no grupo de funções Gestão da Organização.
$RoleGroup = Get-RoleGroup "Organization Management"
$RoleGroup.ManagedBy += (Get-User "David Strome").Identity
Set-RoleGroup "Organization Management" -ManagedBy $RoleGroup.ManagedBy
Para obter informações detalhadas sobre sintaxe e parâmetros, veja Set-RoleGroup.
Utilizar a Shell para remover um delegado de um grupo de funções
Para alterar a lista de delegados num grupo de funções, utilize o parâmetro ManagedBy no cmdlet Set-RoleGroup . O parâmetro ManagedBy substitui toda a lista de delegados no grupo de funções. Se quiser remover delegados do grupo de funções em vez de substituir toda a lista de delegados, utilize os seguintes passos:
Armazene o grupo de funções numa variável com o seguinte comando.
$RoleGroup = Get-RoleGroup <role group name>
Remova o delegado do grupo de funções armazenado na variável com o seguinte comando.
$RoleGroup.ManagedBy -= (Get-User <user to remove>).Identity
Observação
Utilize o cmdlet Get-Group se pretender remover um USG.
Repita o Passo 2 para cada delegado que pretende remover.
Aplique a nova lista de delegados ao grupo de funções real com o seguinte comando.
Set-RoleGroup <role group name> -ManagedBy $RoleGroup.ManagedBy
Este exemplo remove o utilizador David Strome como delegado no grupo de funções Gestão da Organização.
$RoleGroup = Get-RoleGroup "Organization Management"
$RoleGroup.ManagedBy -= (Get-User "David Strome").Identity
Set-RoleGroup "Organization Management" -ManagedBy $RoleGroup.ManagedBy
Para obter informações detalhadas sobre sintaxe e parâmetros, veja Set-RoleGroup.
Como sabe que isto funcionou?
Para verificar se alterou com êxito a lista de delegados num grupo de funções, faça o seguinte:
No Shell, execute o comando a seguir.
Get-RoleGroup <role group name> | Format-List ManagedBy
Verifique se os delegados listados na propriedade ManagedBy incluem apenas os delegados que devem conseguir gerir o grupo de funções.