Compartilhar via


Gerir grupos de funções no Exchange Server

Um grupo de funções de gestão é um grupo de segurança universal (USG) utilizado no modelo de permissões Controlo de Acesso Baseado em Funções (RBAC) no Exchange Server. Um grupo de gerenciamento de funções simplifica a atribuição de funções de gerenciamento para um grupo de usuários. Todos os membros de um grupo de função recebem o mesmo conjunto de funções. Para obter mais informações sobre grupos de funções no Exchange Server, veja Compreender os Grupos de Funções de Gestão.

Para tarefas de gestão adicionais relacionadas com grupos de funções, veja Permissões.

Do que você precisa saber para começar?

Dica

Está com problemas? Peça ajuda nos fóruns do Exchange. Visite os fóruns em: Exchange Server, Exchange Online ou Proteção do Exchange Online.

Criar um grupo de funções

Se quiser personalizar as permissões que pode atribuir a um grupo de utilizadores, crie um novo grupo de funções de gestão personalizada.

Utilizar o EAC para criar um grupo de funções

  1. No Centro de administração do Exchange (EAC), navegue paraFunções de Administradorde Permissões> e, em seguida, clique em Adicionarícone..

  2. Na janela Novo grupo de funções, forneça um nome para o novo grupo de funções.

  3. Pode selecionar as funções que pretende atribuir ao grupo de funções e os membros que pretende que sejam adicionados ao grupo de funções agora ou pode fazê-lo noutra altura.

  4. Selecione o escopo de gravação que deseja aplicar ao novo grupo de funções.

  5. Clique em Salvar para criar o grupo de funções.

Utilizar a Shell de Gestão do Exchange para criar um grupo de funções

Para criar um grupo de funções, veja a secção Exemplos em New-RoleGroup.

Como saber se funcionou?

Para verificar se criou um grupo de funções com êxito, faça o seguinte:

  1. No EAC, navegue paraFunções de Administradorde Permissões>.

  2. Verifique se o novo grupo de funções aparece na lista de grupos de funções e, em seguida, selecione-o.

  3. Verifique se os membros, funções atribuídas e âmbito que especificou no novo grupo de funções estão listados no painel de detalhes do grupo de funções.

Copiar um grupo de funções

Utilizar o EAC para copiar um grupo de funções

Se tiver um grupo de funções que contenha as permissões que pretende conceder aos utilizadores, mas quiser aplicar um âmbito de gestão diferente ou remover ou adicionar uma ou duas funções de gestão sem ter de adicionar todas as outras funções manualmente, pode copiar o grupo de funções existente.

Importante

Não pode utilizar o EAC para copiar um grupo de funções se tiver utilizado a Shell de Gestão do Exchange para configurar vários âmbitos de função de gestão ou âmbitos exclusivos no grupo de funções. Se tiver configurado vários âmbitos ou âmbitos exclusivos no grupo de funções, terá de utilizar os procedimentos da Shell de Gestão do Exchange mais adiante neste tópico para copiar o grupo de funções. Para obter mais informações sobre âmbitos de funções de gestão, veja Compreender os Âmbitos das Funções de Gestão.

  1. No EAC, navegue paraFunções de Administradorde Permissões>.

  2. Selecione o grupo de funções que pretende copiar e, em seguida, clique em Copiar ícone Copiar..

  3. Na janela Novo grupo de funções, forneça um nome para o novo grupo de funções.

  4. Examine as funções que foram copiadas para o novo grupo de funções. Adicione ou remova funções conforme necessário.

  5. Examine o escopo de gravação e altere-o conforme necessário.

  6. Examine os membros que foram copiados para o novo grupo de funções. Adicionar ou remover membros conforme necessário.

  7. Clique em Salvar para criar o grupo de funções.

Utilizar a Shell de Gestão do Exchange para copiar um grupo de funções sem âmbito

  1. Armazene o grupo de funções que pretende copiar numa variável com a seguinte sintaxe.

    $RoleGroup = Get-RoleGroup <name of role group to copy>
    
  2. Crie o novo grupo de funções e adicione também membros ao grupo de funções e especifique quem pode delegar o novo grupo de funções a outros utilizadores, utilizando a seguinte sintaxe.

    New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -Members <member1, member2, member3...> -ManagedBy <user1, user2, user3...>
    

    Por exemplo, os comandos a seguir copiam o grupo de funções Gerenciamento da organização e nomeiam o novo grupo de funções como "Gerenciamento da organização limitado". Também adicionam os membros Isabelle, Carter e Lukas e podem ser delegados por Jenny e Katie.

    $RoleGroup = Get-RoleGroup "Organization Management"
    New-RoleGroup "Limited Organization Management" -Roles $RoleGroup.Roles -Members Isabelle, Carter, Lukas -ManagedBy Jenny, Katie
    

Após o novo grupo de funções ser criado, é possível adicionar ou remover funções, alterar o escopo de atribuições de função na função e muito mais.

Para a sintaxe detalhada e informações sobre o parâmetro, consulte Get-RoleGroup e New-RoleGroup.

Utilizar a Shell de Gestão do Exchange para copiar um grupo de funções com um âmbito personalizado

  1. Armazene o grupo de funções que pretende copiar numa variável com a seguinte sintaxe.

    $RoleGroup = Get-RoleGroup <name of role group to copy>
    
  2. Crie o novo grupo de funções com um âmbito personalizado com a seguinte sintaxe.

    New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name>
    

Por exemplo, os comandos a seguir copiam o grupo de funções Gerenciamento da organização e criam um novo grupo de funções chamado Gerenciamento da organização de Vancouver com o escopo de destinatário dos Usuários de Vancouver e o escopo de configuração dos Servidores de Vancouver.

$RoleGroup = Get-RoleGroup "Organization Management"
New-RoleGroup "Vancouver Organization Management" -Roles $RoleGroup.Roles -CustomRecipientWriteScope "Vancouver Users" -CustomConfigWriteScope "Vancouver Servers"

Também pode adicionar membros ao grupo de funções quando o criar com o parâmetro Membros , conforme mostrado em Utilizar a Shell de Gestão do Exchange para criar uma atribuição de função sem qualquer âmbito anteriormente neste tópico. Para obter mais informações sobre escopos de gerenciamento, consulte Understanding Management Scopes.

Após o novo grupo de funções ser criado, é possível adicionar ou remover funções, alterar o escopo de atribuições de função na função e executar outras tarefas.

Para a sintaxe detalhada e informações sobre o parâmetro, consulte Get-RoleGroup e New-RoleGroup.

Utilizar a Shell de Gestão do Exchange para copiar um grupo de funções com um âmbito de UO

  1. Armazene o grupo de funções que pretende copiar numa variável com a seguinte sintaxe.

    $RoleGroup = Get-RoleGroup <name of role group to copy>
    
  2. Crie o novo grupo de funções com um âmbito personalizado com a seguinte sintaxe.

    New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -RecipientOrganizationalUnitScope <OU name>
    

Por exemplo, os seguintes comandos copiam o grupo de funções Gerenciamento de destinatários e criam um novo grupo de funções chamado Gerenciamento de destinatários de Toronto que permite o gerenciamento de usuários somente na UO de Usuários de Toronto.

$RoleGroup = Get-RoleGroup "Recipient Management"
New-RoleGroup "Toronto Recipient Management" -Roles $RoleGroup.Roles -RecipientOrganizationalUnitScope "contoso.com/Toronto Users"

Também pode adicionar membros ao grupo de funções quando o criar com o parâmetro Membros , conforme mostrado em Utilizar a Shell de Gestão do Exchange para criar uma atribuição de função sem qualquer âmbito anteriormente neste tópico. Para obter mais informações sobre escopos de gerenciamento, consulte Understanding Management Scopes.

Após o novo grupo de funções ser criado, é possível adicionar ou remover funções, alterar o escopo de atribuições de função na função e muito mais.

Para a sintaxe detalhada e informações sobre o parâmetro, consulte Get-RoleGroup e New-RoleGroup.

Como saber se funcionou?

Para verificar se copiou com êxito um grupo de funções, faça o seguinte:

  1. No EAC, navegue paraFunções de Administradorde Permissões>.

  2. Verifique se o grupo de funções copiados aparece na lista de grupos de funções e, em seguida, selecione-o.

  3. Verifique se os membros, as funções atribuídas e o âmbito que especificou no grupo de funções copiados estão listados no painel de detalhes do grupo de funções.

Remover um grupo de funções

Se um grupo de função que você criou não for mais necessário, você pode excluí-lo. Quando você remove um grupo de função, as atribuições de função de gerenciamento entre o grupo de função e as funções de gerenciamento são removidas. As funções de gerenciamento não são excluídas. Se um usuário depender do grupo de função para ter acesso a um recurso, esse usuário não poderá mais acessar o recurso. Não é possível remover grupos de funções internos.

Utilizar o EAC para remover um grupo de funções

  1. No EAC, navegue paraFunções de Administradorde Permissões>.

  2. Selecione o grupo de funções que pretende remover e, em seguida, clique em Eliminarícone Eliminar..

  3. Certifique-se de que pretende remover o grupo de funções selecionado e, em caso afirmativo, responda Sim ao aviso.

Utilizar a Shell de Gestão do Exchange para remover um grupo de funções

Para remover um grupo de funções, veja a secção Exemplos em Remove-RoleGroup.

Exibir grupos de funções

Pode ver uma lista de grupos de funções ou as informações detalhadas sobre um grupo de funções específico que existe na sua organização.

Utilizar o EAC para ver uma lista de grupos de funções e detalhes do grupo de funções

  1. No EAC, navegue paraFunções de Administradorde Permissões>. Todos os grupos de funções em sua organização são listadas aqui.

  2. Selecione um grupo de funções para ver os membros, as funções atribuídas e o âmbito configurados no grupo de funções.

Utilize a Shell de Gestão do Exchange para ver uma lista de grupos de funções e detalhes do grupo de funções

Para ver uma lista de grupos de funções, veja a secção Exemplos em Get-RoleGroup.

Adicionar uma função a um grupo de funções

Adicionar uma função de gestão a um grupo de funções é a melhor e mais simples forma de conceder permissões a um grupo de administradores ou utilizadores especializados. Se quiser dar aos utilizadores que são membros de um grupo de funções a capacidade de gerir uma funcionalidade, adicione a função de gestão que gere a funcionalidade ao grupo de funções. Após a função ser adicionada, os membros do grupo de funções recebem as permissões fornecidas pela função.

Utilizar o EAC para adicionar uma função de gestão a um grupo de funções

Importante

Não pode utilizar o EAC para adicionar funções a um grupo de funções se tiver utilizado a Shell de Gestão do Exchange para configurar vários âmbitos de função de gestão ou âmbitos exclusivos no grupo de funções. Se tiver configurado vários âmbitos ou âmbitos exclusivos no grupo de funções, terá de utilizar os procedimentos da Shell de Gestão do Exchange mais adiante neste tópico para adicionar funções ao grupo de funções. Para obter mais informações sobre âmbitos de funções de gestão, veja Compreender os Âmbitos das Funções de Gestão.

  1. No EAC, navegue paraFunções de Administradorde Permissões>.

  2. Selecione o grupo de funções ao qual pretende adicionar uma função e, em seguida, clique em Editarícone Editar..

  3. Na secção Funções , selecione as funções que pretende adicionar ao grupo de funções.

  4. Quando terminar de adicionar funções ao grupo de funções, clique em Guardar.

Utilizar a Shell de Gestão do Exchange para criar uma atribuição de função sem âmbito

Pode criar uma atribuição de função sem âmbito entre uma função e um grupo de funções. Ao fazê-lo, aplicam-se os âmbitos implícitos de leitura e escrita implícita da função.

Utilize a seguinte sintaxe para atribuir uma função sem qualquer âmbito a um grupo de funções. Um nome de atribuição de função é criado automaticamente se não especificar um.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name>

Este exemplo atribui a função de gestão Regras de Transporte ao grupo de funções Conformidade de Seattle.

New-ManagementRoleAssignment -SecurityGroup "Seattle Compliance" -Role "Transport Rules"

Para informações detalhadas de sintaxes e de parâmetros, consulte New-ManagementRoleAssignment.

Utilizar a Shell de Gestão do Exchange para criar uma atribuição de função com um âmbito predefinido

Se um âmbito predefinido cumprir os seus requisitos empresariais, pode aplicar esse âmbito à atribuição de função em vez de criar um novo. Para obter uma lista dos âmbitos predefinidos e respetivas descrições, veja Compreender os Âmbitos das Funções de Gestão.

Para mais informações sobre atribuições de função, consulte Understanding Management Role Assignments.

Utilize a seguinte sintaxe para atribuir uma função a um grupo de funções com um âmbito predefinido. Um nome de atribuição de função é criado automaticamente se não especificar um.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -RecipientRelativeWriteScope < MyGAL | MyDistributionGroups | Organization | Self >

Este exemplo atribui a função Controlo de Mensagens ao grupo de funções de Suporte empresarial e aplica o âmbito predefinido da Organização.

New-ManagementRoleAssignment -SecurityGroup "Enterprise Support" -Role "Message Tracking" -RecipientRelativeWriteScope Organization

Para informações detalhadas de sintaxes e de parâmetros, consulte New-ManagementRoleAssignment.

Utilizar a Shell de Gestão do Exchange para criar uma atribuição de função com um âmbito baseado no filtro do destinatário

Se tiver criado um âmbito baseado no filtro do destinatário, terá de incluir o âmbito no comando utilizado para atribuir a função a um grupo de funções com o parâmetro CustomRecipientWriteScope .

Também pode incluir um âmbito de escrita de configuração quando cria uma atribuição de função que tem um âmbito de escrita de destinatário.

Esta função destacada para o usuário tem escopos implícitos que não podem ser modificados. Portanto, você deve adicionar escopos personalizados a atribuições de função que atribuem esta função às diretivas de atribuição de função, grupos de função, USGs, ou usuários.

Utilize a seguinte sintaxe para atribuir uma função a um grupo de funções com um âmbito baseado no filtro do destinatário. Um nome de atribuição de função é criado automaticamente se não especificar um.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -CustomRecipientWriteScope <role scope name>

Este exemplo atribui a função Controlo de Mensagens ao grupo de funções Admins do Destinatário de Seattle e aplica o âmbito Destinatários de Seattle.

New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Message Tracking" -CustomRecipientWriteScope "Seattle Recipients"

Para informações detalhadas de sintaxes e de parâmetros, consulte New-ManagementRoleAssignment.

Utilizar a Shell de Gestão do Exchange para criar uma atribuição de função com um âmbito de configuração

Se tiver criado um filtro de configuração de servidor ou base de dados ou um âmbito baseado na lista, terá de incluir o âmbito no comando utilizado para atribuir a função a um grupo de funções com o parâmetro CustomConfigWriteScope .

Também pode incluir um âmbito de escrita do destinatário quando cria uma atribuição de função que tem um âmbito de escrita de configuração.

Escopo de gravação da configuração: determina quais membros dos objetos de destinatários e organizacionais do grupo de funções tem permissão para fazer modificações no exADNoMk.

Utilize a seguinte sintaxe para atribuir uma função a um grupo de funções com um âmbito de configuração. Um nome de atribuição de função é criado automaticamente se não especificar um.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -CustomConfigWriteScope <role scope name>

Este exemplo atribui a função Bases de Dados ao grupo de funções Administradores do Servidor de Seattle e aplica o âmbito Servidores de Seattle.

New-ManagementRoleAssignment -SecurityGroup "Seattle Server Admins" -Role "Databases" -CustomConfigWriteScope "Seattle Servers"

Para informações detalhadas de sintaxes e de parâmetros, consulte New-ManagementRoleAssignment.

Utilizar a Shell de Gestão do Exchange para criar uma atribuição de função com um âmbito de UO

Se quiser definir o âmbito de escrita de uma função para uma UO, pode especificar a UO no parâmetro RecipientOrganizationalUnitScope diretamente.

Escopo de gravação da configuração: determina quais membros dos objetos de destinatários e organizacionais do grupo de funções tem permissão para fazer modificações no exADNoMk.

Utilize o seguinte comando para atribuir uma função a um grupo de funções e restringir o âmbito de escrita de uma função a uma UO específica. Um nome de atribuição de função é criado automaticamente se não especificar um.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -RecipientOrganizationalUnitScope <OU>

Este exemplo atribui a função Destinatários de Correio ao grupo de funções Administradores Destinatários de Seattle e define o âmbito da atribuição para a UO Sales\Users no domínio Contoso.com.

New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users

Para informações detalhadas de sintaxes e de parâmetros, consulte New-ManagementRoleAssignment.

Como saber se funcionou?

Para verificar se adicionou funções com êxito a um grupo de funções, faça o seguinte:

  1. No EAC, navegue paraFunções de Administradorde Permissões>.

  2. Selecione o grupo de funções ao qual adicionou funções. No painel de detalhes do grupo de funções, verifique se as funções que adicionou estão listadas.

Remover uma função de um grupo de funções

Remover uma função de um grupo de funções de gestão é a melhor e mais simples forma de revogar as permissões concedidas a um grupo de administradores ou utilizadores especializados. Se não quiser que os administradores ou utilizadores especializados tenham permissões para gerir uma funcionalidade, remova a função de gestão do grupo de funções de gestão que gere as permissões. Depois de a função ser removida, os membros do grupo de funções deixarão de ter permissões para gerir a funcionalidade.

Observação

Alguns grupos de funções, como o grupo de funções Gestão da Organização, restringem as funções que podem ser removidas de um grupo de funções. Para obter mais informações, veja Compreender os Grupos de Funções de Gestão. > Se um administrador for membro de outro grupo de funções que contenha funções de gestão que concedam permissões para gerir a funcionalidade, tem de remover o administrador dos outros grupos de funções ou remover a função que concede permissões para gerir a funcionalidade dos outros grupos de funções.

Utilizar o EAC para remover uma função de gestão de um grupo de funções

Importante

Não pode utilizar o EAC para remover funções de um grupo de funções se tiver utilizado a Shell de Gestão do Exchange para configurar vários âmbitos ou âmbitos exclusivos no grupo de funções. Se tiver configurado vários âmbitos ou âmbitos exclusivos no grupo de funções, terá de utilizar os procedimentos da Shell de Gestão do Exchange mais adiante neste tópico para remover funções do grupo de funções. Para obter mais informações sobre âmbitos de funções de gestão, veja Compreender os Âmbitos das Funções de Gestão.

  1. No EAC, navegue paraFunções de Administradorde Permissões>.

  2. Selecione o grupo de funções do qual pretende remover uma função e, em seguida, clique em Editarícone Editar..

  3. Na secção Funções , selecione as funções que pretende remover do grupo de funções.

  4. Quando terminar de remover funções do grupo de funções, clique em Guardar.

Utilizar a Shell de Gestão do Exchange para remover uma função de um grupo de funções

Pode remover funções de grupos de funções ao obter a atribuição de função de gestão associada com o cmdlet Get-ManagementRoleAssignment e, em seguida, encaminhar a atribuição de função devolvida ao cmdlet Remove-ManagementRoleAssignment . A menos que pretenda remover atribuições de funções regulares e delegadas ao mesmo tempo, especifique o parâmetro Delegating para especificar se pretende remover atribuições de funções regulares ou delegadas.

Para obter mais informações sobre atribuições de função regulares e de delegação, consulte Noções básicas sobre atribuições de função de gerenciamento.

Esse procedimento usa canalização. Para obter mais informações sobre pipelining, consulte about_Pipelines.

Para remover uma função de um grupo de funções, utilize a seguinte sintaxe.

Get-ManagementRoleAssignment -RoleAssignee <role group name> -Role <role name> -Delegating <$true | $false> | Remove-ManagementRoleAssignment

Este exemplo remove a função Grupos de Distribuição, que permite aos administradores gerir grupos de distribuição, do grupo de funções Administradores destinatários de Seattle. Uma vez que queremos remover a atribuição de função que fornece permissões para gerir grupos de distribuição, o parâmetro Delegating está definido como $False, que devolve apenas atribuições de funções regulares.

Get-ManagementRoleAssignment -RoleAssignee "Seattle Recipient Administrators" -Role "Distribution Groups" -Delegating $false | Remove-ManagementRoleAssignment

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Remove-ManagementRoleAssignment.

Como saber se funcionou?

Para verificar se removeu com êxito as funções de um grupo de funções, faça o seguinte:

  1. No EAC, navegue paraFunções de Administradorde Permissões>.

  2. Selecione o grupo de funções do qual removeu funções. No painel de detalhes do grupo de funções, verifique se as funções que removeu já não estão listadas.

Alterar o âmbito de um grupo de funções

As atribuições de função de gerenciamento entre um grupo de funções e uma função contêm escopos de gerenciamento, que determinam quais objetos são disponibilizados aos membros desse grupo de funções. Ao alterar o escopo de gravação em um grupo de funções, é possível alterar quais objetos são disponibilizados aos membros do grupo de funções para criação, alteração ou remoção. Não é possível alterar o escopo de leitura em um grupo de funções.

O Exchange Server inclui âmbitos que são aplicados por predefinição a atribuições de funções quando não são criados âmbitos personalizados. Se você deseja usar um escopo personalizado com uma atribuição de função em um grupo de funções, primeiramente, é necessário criá-lo. Para mais informações sobre como criar escopos personalizados, que são tarefas avançadas, consulte Create a Regular or Exclusive Scope.

Para obter mais informações sobre âmbitos e atribuições de funções de gestão no Exchange Server, veja os seguintes tópicos:

Utilizar o EAC para alterar o âmbito num grupo de funções

Quando utiliza o EAC para alterar o âmbito num grupo de funções, está, na verdade, a alterar o âmbito em todas as atribuições de funções entre o grupo de funções e cada uma das funções de gestão atribuídas ao grupo de funções. Se quiser alterar o âmbito em atribuições de funções específicas, tem de utilizar os procedimentos da Shell de Gestão do Exchange mais adiante neste tópico.

Importante

Não pode utilizar o EAC para gerir âmbitos em atribuições de funções entre funções e um grupo de funções se tiver utilizado a Shell de Gestão do Exchange para configurar vários âmbitos ou âmbitos exclusivos nessas atribuições de funções. Se tiver configurado vários âmbitos ou âmbitos exclusivos nessas atribuições de funções, terá de utilizar os procedimentos da Shell de Gestão do Exchange mais adiante neste tópico para gerir âmbitos. Para obter mais informações sobre âmbitos de funções de gestão, veja Compreender os Âmbitos das Funções de Gestão.

  1. No EAC, navegue paraFunções de Administradorde Permissões>.

  2. Selecione o grupo de funções no qual pretende alterar o âmbito e, em seguida, clique em Editarícone Editar..

  3. Selecione uma das seguintes opções de Escopo de Gravação:

    • Um âmbito de escrita na caixa pendente, onde pode selecionar o âmbito de escrita predefinido ou um âmbito de escrita personalizado.

    • Unidade organizacional: selecione esta opção e forneça uma unidade organizacional (UO) se quiser definir o âmbito deste grupo de funções para uma UO.

  4. Clique em Salvar para salvar as alterações feitas no grupo de funções.

Utilize a Shell de Gestão do Exchange para alterar o âmbito de todas as atribuições de funções num grupo de funções ao mesmo tempo

As atribuições de função entre o grupo de funções e as funções atribuídas a ele podem usar o escopo implícito obtido das próprias funções, do mesmo escopo personalizado ou de diferentes escopos personalizados. Para mais informações sobre atribuições de função, consulte Understanding Management Role Assignments.

Os escopos nas atribuições de função são gerenciados usando-se o cmdlet Set-ManagementRoleAssignment. Não é possível gerenciar escopos usando o cmdlet de Set-RoleGroup.

Para alterar o escopo de todas as atribuições de função entre um grupo de funções e um conjunto de funções de gerenciamento ao mesmo tempo, é preciso primeiro recuperar as atribuições de função do grupo e definir o novo escopo em cada uma das atribuições. Isso pode ser feito utilizando-se o cmdlet Get-ManagementRoleAssignment para recuperar as atribuições e enviá-las ao cmdlet Set-ManagementRoleAssignment.

Esse procedimento usa os conceitos de pipelining e a opção WhatIf. Para mais informações, confira os seguintes tópicos:

Para definir o escopo em todas as atribuições de função de um grupo de funções ao mesmo tempo, use a sintaxe na sequência.

Get-ManagementRoleAssignment -RoleAssignee <name of role group> | Set-ManagementRoleAssignment -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name> -RecipientRelativeScopeWriteScope < MyDistributionGroups | Organization | Self> -ExclusiveRecipientWriteScope <exclusive recipient scope name> -ExclusiveConfigWriteScope <exclusive configuration scope name> -RecipientOrganizationalUnitScope <organizational unit>

Use apenas os parâmetros de que você precisa para configurar o escopo que deseja usar. Por exemplo, se quiser alterar o escopo do destinatário de todas as atribuições de função no grupo de funções Gerenciamento de Destinatários de Venda para Funcionários de Vendas Diretas, use o seguinte comando.

Get-ManagementRoleAssignment -RoleAssignee "Sales Recipient Management" | Set-ManagementRoleAssignment -CustomRecipientWriteScope "Direct Sales Employees"

Observação

Você pode usar a opção WhatIf para verificar se apenas as atribuições de função que deseja modificar foram alteradas. Execute o comando anterior com a opção WhatIf para verificar os resultados e remova a opção WhatIf para aplicar as alterações.

Para obter mais informações sobre como alterar as atribuições de função de gerenciamento, consulte Change a Role Assignment.

Para informações detalhadas de sintaxes e de parâmetros, consulte Get-ManagementRoleAssignment.

Utilizar a Shell de Gestão do Exchange para alterar o âmbito das atribuições de funções individuais num grupo de funções

As atribuições de função entre o grupo de funções e as funções atribuídas a ele podem usar o escopo implícito obtido das próprias funções, do mesmo escopo personalizado ou de diferentes escopos personalizados. Para mais informações sobre atribuições de função, consulte Understanding Management Role Assignments.

Os escopos nas atribuições de função são gerenciados usando-se o cmdlet Set-ManagementRoleAssignment. Não é possível gerenciar escopos usando o cmdlet de Set-RoleGroup.

Esse procedimento usa os conceitos de pipelining e o cmdlet Format-List. Para mais informações, confira os seguintes tópicos:

Para alterar o escopo de uma atribuição de função entre um grupo de funções e uma função de gerenciamento, localize primeiro o nome da atribuição de função e defina o escopo na atribuição de função.

  1. Para encontrar os nomes de todas as funções de atribuição em um grupo de funções, use o comando a seguir. Ao encaminhar as atribuições de função de gerenciamento ao cmdlet Format-List, você poderá exibir o nome completo da atribuição.

    Get-ManagementRoleAssignment -RoleAssignee <role group name> | Format-List Name
    
  2. Localize o nome de atribuição de função que deseja alterar. Utilize o nome da atribuição de função no passo seguinte.

  3. Para definir o escopo em uma atribuição individual, use a sintaxe a seguir.

    Set-ManagementRoleAssignment <role assignment name> -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name> -RecipientRelativeScopeWriteScope < MyDistributionGroups | Organization | Self> -ExclusiveRecipientWriteScope <exclusive recipient scope name> -ExclusiveConfigWriteScope <exclusive configuration scope name> -RecipientOrganizationalUnitScope <organizational unit>
    

Use apenas os parâmetros de que você precisa para configurar o escopo que deseja usar. Por exemplo, se quiser alterar o escopo do destinatário da atribuição de função Mail Recipients_Sales Recipient Management para Todos os Funcionários de Vendas, use o seguinte comando.

Set-ManagementRoleAssignment "Mail Recipients_Sales Recipient Management" -CustomRecipientWriteScope "All Sales Employees"

Para obter mais informações sobre como alterar as atribuições de função de gerenciamento, consulte Change a Role Assignment.

Para informações detalhadas de sintaxes e de parâmetros, consulte Set-ManagementRoleAssignment.

Como saber se funcionou?

Para verificar se alterou com êxito o âmbito de uma atribuição de função num grupo de funções, faça o seguinte:

  • Se utilizou o EAC para configurar o âmbito no grupo de funções, faça o seguinte:

    1. No EAC, navegue paraFunções de Administradorde Permissões>. Todos os grupos de funções na sua organização estão listados aqui.

    2. Selecione um grupo de funções para ver o âmbito configurado no grupo de funções.

  • Se utilizou a Shell de Gestão do Exchange para configurar o âmbito no grupo de funções, faça o seguinte:

    1. Execute o seguinte comando no Shell de Gerenciamento do Exchange.

      Get-ManagementRoleAssignment -RoleAssignee <role group name> | Format-Table *WriteScope
      
    2. Verifique se o âmbito de escrita nas atribuições de funções foi alterado para o âmbito que especificou.

Adicionar ou remover um delegado do grupo de funções

Os delegados do grupo de funções são utilizadores ou grupos de segurança universal (USGs) que podem adicionar ou remover membros de um grupo de funções ou alterar as propriedades de um grupo de funções. Ao adicionar ou remover delegados do grupo de funções, pode controlar quem tem permissão para gerir um grupo de funções.

Importante

Depois de adicionar um delegado a um grupo de funções, o grupo de funções só pode ser gerido pelos delegados no grupo de funções ou pelos utilizadores atribuídos, direta ou indiretamente, à função de gestão da Gestão de Funções. > Se um utilizador for atribuído, direta ou indiretamente, à função Gestão de Funções e não for adicionado como delegado do grupo de funções, o utilizador tem de utilizar o comutador BypassSecurityGroupManagerCheck nos cmdlets Add-RoleGroupMember, Remove-RoleGroupMember, Update-RoleGroupMember e Set-RoleGroup para gerir um grupo de funções.

Observação

Não pode utilizar o EAC para adicionar um delegado a um grupo de funções.

Utilizar a Shell de Gestão do Exchange para adicionar um delegado a um grupo de funções

Para alterar a lista de delegados num grupo de funções, utilize o parâmetro ManagedBy no cmdlet Set-RoleGroup . O parâmetro ManagedBy substitui toda a lista de delegados no grupo de funções. Se quiser adicionar delegados ao grupo de funções em vez de substituir toda a lista de delegados, utilize os seguintes passos:

  1. Armazene o grupo de funções numa variável com o seguinte comando.

    $RoleGroup = Get-RoleGroup <role group name>
    
  2. Adicione o delegado ao grupo de funções armazenado na variável com o seguinte comando.

    $RoleGroup.ManagedBy += (Get-User <user to add>).Identity
    

    Observação

    Utilize o cmdlet Get-Group se quiser adicionar um USG.

  3. Repita o Passo 2 para cada delegado que pretende adicionar.

  4. Aplique a nova lista de delegados ao grupo de funções real com o seguinte comando.

    Set-RoleGroup <role group name> -ManagedBy $RoleGroup.ManagedBy
    

Este exemplo adiciona o utilizador David Strome como delegado no grupo de funções Gestão da Organização.

$RoleGroup = Get-RoleGroup "Organization Management"
$RoleGroup.ManagedBy += (Get-User "David Strome").Identity
Set-RoleGroup "Organization Management" -ManagedBy $RoleGroup.ManagedBy

Para obter informações detalhadas sobre sintaxe e parâmetros, veja Set-RoleGroup.

Utilizar a Shell de Gestão do Exchange para remover um delegado de um grupo de funções

Para alterar a lista de delegados num grupo de funções, utilize o parâmetro ManagedBy no cmdlet Set-RoleGroup . O parâmetro ManagedBy substitui toda a lista de delegados no grupo de funções. Se quiser remover delegados do grupo de funções em vez de substituir toda a lista de delegados, utilize os seguintes passos:

  1. Armazene o grupo de funções numa variável com o seguinte comando.

    $RoleGroup = Get-RoleGroup <role group name>
    
  2. Remova o delegado do grupo de funções armazenado na variável com o seguinte comando.

    $RoleGroup.ManagedBy -= (Get-User <user to remove>).Identity
    

    Observação

    Utilize o cmdlet Get-Group se pretender remover um USG.

  3. Repita o Passo 2 para cada delegado que pretende remover.

  4. Aplique a nova lista de delegados ao grupo de funções real com o seguinte comando.

    Set-RoleGroup <role group name> -ManagedBy $RoleGroup.ManagedBy
    

Este exemplo remove o utilizador David Strome como delegado no grupo de funções Gestão da Organização.

$RoleGroup = Get-RoleGroup "Organization Management"
$RoleGroup.ManagedBy -= (Get-User "David Strome").Identity
Set-RoleGroup "Organization Management" -ManagedBy $RoleGroup.ManagedBy

Para obter informações detalhadas sobre sintaxe e parâmetros, veja Set-RoleGroup.

Como saber se funcionou?

Para verificar se alterou com êxito a lista de delegados num grupo de funções, faça o seguinte:

  1. No Shell de Gerenciamento do Exchange, execute o seguinte comando.

    Get-RoleGroup <role group name> | Format-List ManagedBy
    
  2. Verifique se os delegados listados na propriedade ManagedBy incluem apenas os delegados que devem conseguir gerir o grupo de funções.