Compartilhar via


Criar um Grupo de Função Vinculado

Aplica-se a: Exchange Server 2010

Tópico modificado em: 2009-10-05

Um grupo de função de gerenciamento vinculado pode ser usado para habilitar membros de um USG (grupo de segurança universal) em uma floresta externa do Active Directory para gerenciar uma organização do Microsoft Exchange Server 2010 em uma floresta de recursos do Active Directory. Ao associar um USG em uma floresta externa a um grupo de função vinculado, os membros desse USG recebem as permissões fornecidas pelas funções de gerenciamento atribuídas ao grupo de função vinculado. Para obter mais informações sobre grupos de função vinculados, consulte Entendendo os Grupos de Função de Gerenciamento.

Importante

Para adicionar ou remover usuários em um grupo de função vinculado, é preciso adicionar ou remover membros no USG na floresta externa do Active Directory. Não é possível usar os cmdlets Add-RoleGroupMember, Remove-RoleGroupMember ou Update-RoleGroupMember para alterar a associação de um grupo de função vinculado.

Procurando outras tarefas de gerenciamento relacionadas a usuários administradores e especialistas? Consulte Gerenciando Usuários Administradores e Especialistas.

Pré-requisitos

  • A configuração de um grupo de função vinculado exige que, no mínimo, uma confiança de sentido único seja estabelecida entre a floresta de recursos do Active Directory na qual o grupo de função vinculado irá residir e a floresta externa do Active Directory na qual os usuários ou USGs residem. A floresta de recursos deve confiar na floresta externa.
  • Você deve possuir as seguintes informações sobre a floresta externa do Active Directory:
    • Credenciais   Você deve ter um nome de usuário e senha com acesso à floresta externa do Active Directory. Essa informação é usada com o parâmetro LinkedCredential no cmdlet New-RoleGroup.
    • Controlador de domínio   Você deve ter um nome de domínio totalmente qualificado (FQDN) de um controlador de domínio do Active Directory na floresta externa do Active Directory. Essa informação é usada com o parâmetro LinkedDomainController no cmdlet New-RoleGroup.
    • USG Externo Você deve ter o nome completo de um USG na floresta externa do Active Directory que contenha os membros que você deseja associar ao grupo de função vinculado. Essa informação é usada com o parâmetro LinkedForeignGroup no cmdlet New-RoleGroup.

Usar o Shell para criar um grupo de função vinculado sem escopo

Para executar este procedimento, você precisa de permissões. Para ver de que permissões você precisa, consulte o Entrada "Grupos de funções" no tópico Função de Gerenciamento de Permissões.

Dica

O EMC não pode ser usado para criar um grupo de função vinculado sem escopo.

Para criar um grupo de função vinculado e atribuir funções de gerenciamento ao grupo de função vinculado, faça o seguinte:

  1. Armazene as credenciais da floresta externa do Active Directory em uma variável.

    $ForeignCredential = Get-Credential
    
  2. Criar o grupo de função vinculado usando a sintaxe a seguir.

    New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -Roles <role1, role2, role3...>
    
  3. Adicionar ou remover membros ao/do USG externo usando Usuários e Computadores do Active Directory em um computador na floresta externa do Active Directory.

Este exemplo faz o seguinte:

  • Recupera as credenciais da floresta externa users.contoso.com do Active Directory. Essas credenciais são usadas para conectar ao controlador de domínio DC01.users.contoso.com na floresta externa.
  • Cria um grupo de função vinculado chamado Grupo de Função de Conformidade na floresta de recursos onde o Exchange 2010 está instalado.
  • Vincula o novo grupo de função ao USG Administradores de Conformidade na floresta externa users.contoso.com do Active Directory.
  • Atribui as funções de gerenciamento Regras de Transporte e Registro em Diário ao novo grupo de função vinculado.
$ForeignCredential = Get-Credential
New-RoleGroup "Compliance Role Group" -LinkedForeignGroup "Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles "Transport Rules", "Journaling"

Para informações detalhadas de sintaxes e de parâmetros, consulte New-RoleGroup.

Usar o Shell para criar um grupo de função vinculado com um escopo de gerenciamento personalizado

Para executar este procedimento, você precisa de permissões. Para ver de que permissões você precisa, consulte o Entrada "Grupos de funções" no tópico Função de Gerenciamento de Permissões.

Dica

O EMC não pode ser usado para criar um grupo de função vinculado com um escopo de gerenciamento personalizado.

É possível criar grupos de função vinculados com escopos de gerenciamento de destinatário personalizados, escopos de gerenciamento de configuração personalizados ou ambos. Para criar um grupo de função vinculado e atribuir funções de gerenciamento com escopos personalizados a ele, faça o seguinte:

  1. Armazene as credenciais da floresta externa do Active Directory em uma variável.

    $ForeignCredential = Get-Credential
    
  2. Criar o grupo de função vinculado usando a sintaxe a seguir.

    New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -CustomConfigWriteScope <name of configuration scope> -CustomRecipientWriteScope <name of recipient scope> -LinkedCredential $ForeignCredential -Roles <role1, role2, role3...>
    
  3. Adicionar ou remover membros ao/do USG externo usando Usuários e Computadores do Active Directory em um computador na floresta externa do Active Directory.

Este exemplo faz o seguinte:

  • Recupera as credenciais da floresta externa users.contoso.com do Active Directory. Essas credenciais são usadas para conectar ao controlador de domínio DC01.users.contoso.com na floresta externa.
  • Cria um grupo de função vinculado chamado Grupo de Função de Conformidade de Seattle na floresta de recursos onde o Exchange 2010 está instalado.
  • Vincula o novo grupo de função ao USG Administradores de Conformidade de Seattle na floresta externa users.contoso.com do Active Directory.
  • Atribui as funções de gerenciamento Regras de Transporte e Registro em Diário ao novo grupo de função vinculado com o escopo de destinatário personalizado Destinatários de Seattle.
$ForeignCredential = Get-Credential
New-RoleGroup "Seattle Compliance Role Group" -LinkedForeignGroup "Seattle Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -CustomRecipientWriteScope "Seattle Recipients" -Roles "Transport Rules", "Journaling"

Para obter mais informações sobre escopos de gerenciamento, consulte Noções Básicas Sobre Escopos da Função de Gerenciamento.

Para informações detalhadas de sintaxes e de parâmetros, consulte New-RoleGroup.

Usar o Shell para criar um grupo de função vinculado com um escopo de OU

Para executar este procedimento, você precisa de permissões. Para ver de que permissões você precisa, consulte o Entrada "Grupos de funções" no tópico Função de Gerenciamento de Permissões.

Dica

O EMC não pode ser usado para criar um grupo de função vinculado com um escopo de OU (unidade organizacional).

Você pode criar grupos de função vinculados que usam um escopo de destinatário OU. Para criar um grupo de função vinculado e atribuir funções de gerenciamento a ele com um escopo de OU, faça o seguinte:

  1. Armazene as credenciais da floresta externa do Active Directory em uma variável.

    $ForeignCredential = Get-Credential
    
  2. Criar o grupo de função vinculado usando a sintaxe a seguir.

    New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -RecipientOrganizationalUnitScope <OU name> -Roles <role1, role2, role3...>
    
  3. Adicionar ou remover membros ao/do USG externo usando Usuários e Computadores do Active Directory em um computador na floresta externa do Active Directory.

Este exemplo faz o seguinte:

  • Recupera as credenciais da floresta externa users.contoso.com do Active Directory. Essas credenciais são usadas para conectar ao controlador de domínio DC01.users.contoso.com na floresta externa.
  • Cria um grupo de função vinculado chamado Grupo de Função de Conformidade de Executivos na floresta de recursos onde o Exchange 2010 está instalado.
  • Vincula o novo grupo de função ao USG Administradores de Conformidade de Executivos na floresta externa users.contoso.com do Active Directory.
  • Atribui as funções de gerenciamento Regras de Transporte e Registro em Diário ao novo grupo de função vinculado com o escopo de destinatário de OU OU de Executivos.
$ForeignCredential = Get-Credential
New-RoleGroup "Executives Compliance Role Group" -LinkedForeignGroup "Executives Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -RecipientOrganizationalUnitScope "Executives OU" -Roles "Transport Rules", "Journaling"

Para obter mais informações sobre escopos de gerenciamento, consulte Noções Básicas Sobre Escopos da Função de Gerenciamento.

Para informações detalhadas de sintaxes e de parâmetros, consulte New-RoleGroup.

Outras Tarefas

Após criar um grupo de função vinculado, você também pode querer: