Criar Grupos de Função Vinculados que Espelhem Grupos de Função Integrados
Aplica-se a: Exchange Server 2010
Tópico modificado em: 2009-10-12
Usando grupos de funções de gerenciamento vinculados no Microsoft Exchange Server 2010, você poderá vincular um grupo de funções a uma floresta de recursos do Exchange 2010 com um grupo de segurança universal (USG) em uma floresta de usuário externa. Isso é útil quando você quer que administradores com contas na floresta de usuário gerenciem servidores que executam o Exchange na floresta de recursos. Para obter mais informações sobre grupos de função vinculados, consulte Entendendo os Grupos de Função de Gerenciamento.
Por padrão, o Exchange 2010 inclui um número de grupos de funções internos que oferecem permissões para gerenciar uma variedade de recursos e funções de trabalho. Cada grupo de funções é criado para fornecer permissões específicas a cada recurso e função de trabalho. Entretanto, esses grupos de funções não podem ser vinculados a USGs em uma floresta externa. Eles só podem conter usuários e USGs da floresta de recursos local. Felizmente, é possível replicar esses grupos de funções internos usando grupos de funções internos.
Você pode recriar cada grupo de funções internos como um grupo de função vinculado. Todas as funções e todos os escopos de gerenciamento atribuídos a cada grupo de funções são adicionados ao novo grupo de funções vinculado. Para obter mais informações sobre a atribuição de funções e escopos de gerenciamento, consulte os seguintes tópicos:
Procurando outras tarefas de gerenciamento relacionadas a grupos de função? Consulte Gerenciando Usuários Administradores e Especialistas.
Pré-requisitos
- A configuração de um grupo de funções vinculado requer uma relação de confiança unidirecional entre a floresta de recurso do Active Directory em que o grupo de funções vinculadas residirá e a floresta externa do Active Directory em que os usuários ou os USGs residem. A floresta de recursos deve confiar na floresta externa.
- Você deve possuir as seguintes informações sobre a floresta externa do Active Directory:
- Credenciais Você deve ter um nome de usuário e senha com acesso à floresta externa do Active Directory. Essa informação é usada com o parâmetro LinkedCredential no cmdlet New-RoleGroup. Essas informações são obtidas pela execução do cmdlet Get-Credential. O formato do nome de usuário é domínio\nome de usuário.
- Controlador de domínio Você deve ter um nome de domínio totalmente qualificado (FQDN) de um controlador de domínio do Active Directory na floresta externa do Active Directory. Essa informação é usada com o parâmetro LinkedDomainController no cmdlet New-RoleGroup.
- USG Externo Você deve ter o nome completo de um USG na floresta externa do Active Directory que contenha os membros que você deseja associar ao grupo de função vinculado. Essa informação é usada com o parâmetro LinkedForeignGroup no cmdlet New-RoleGroup.
Usar o Shell para criar grupos de funções vinculados que replicam grupos de funções internos
Para executar este procedimento, você precisa de permissões. Para ver de que permissões você precisa, consulte o Entrada "Grupos de funções" no tópico Função de Gerenciamento de Permissões.
Dica
Você não pode usar o EMC para criar grupos de funções vinculados que replicam grupos de funções internos.
Cada uma das seções a seguir mostra como recriar cada grupo de funções interno como um grupo de funções vinculado. Conclua os procedimentos em cada seção para recriar todos os grupos de funções internos como grupos de funções vinculados.
Criar grupo de funções vinculado de Gerenciamento da Organização
Para criar novamente o grupo de funções Gerenciamento da Organização como um grupo vinculado, execute um procedimento diferente do usado para recriar outros grupos de funções internos. Isso ocorre porque o grupo de funções Gerenciamento da Organização tem atribuições de função de delegação entre ele e todas as funções de gerenciamento. Recriar as atribuições de função de delegação requer uma etapa adicional.
Crie um USG na floresta externa que será vinculado ao grupo de funções Gerenciamento da Organização.
Armazene as credenciais da floresta externa do Active Directory em uma variável.
$ForeignCredential = Get-Credential
Armazene todas as funções atribuídas ao grupo de funções Gerenciamento da Organização em uma variável.
$OrgMgmt = Get-RoleGroup "Organization Management"
Crie o grupo de funções vinculado Gerenciamento da Organização e adicione as funções atribuídas ao grupo de funções interno Gerenciamento da Organização.
New-RoleGroup "Organization Management - Linked" -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign ExADNoMk domain controller> -LinkedCredential $ForeignCredential -Roles $OrgMgmt.Roles
Remova todas as atribuições regulares entre o novo grupo de funções vinculado Gerenciamento da Organização e as Minhas* funções de usuário final.
Get-ManagementRoleAssignment -RoleAssignee "Organization Management - Linked" -Role My* | Remove-ManagementRoleAssignment
Adicione as atribuições de função de delegação entre o novo grupo de funções vinculado Gerenciamento da Organização e todas as funções de gerenciamento.
Get-ManagementRole | New-ManagementRoleAssignment -SecurityGroup "Organization Management - Linked" -Delegating
Este exemplo presume que os seguintes valores sejam usados para cada parâmetro:
- LinkedForeignGroup
Organization Management Administrators
- LinkedDomainController
DC01.users.contoso.com
Usando os valores anteriores, este exemplo recria o grupo de funções Gerenciamento da Organização como um grupo de funções vinculado.
$ForeignCredential = Get-Credential
$OrgMgmt = Get-RoleGroup "Organization Management"
New-RoleGroup "Organization Management - Linked" -LinkedForeignGroup "Organization Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $OrgMgmt.Roles
Get-ManagementRoleAssignment -RoleAssignee "Organization Management - Linked" -Role My* | Remove-ManagementRoleAssignment
Get-ManagementRole | New-ManagementRoleAssignment -SecurityGroup "Organization Management - Linked" -Delegating
Criar todos os outros grupos de funções vinculados
Para recriar os grupos de funções internos (exceto o grupo de funções Gerenciamento da Organização) como grupos de funções vinculados, use o seguinte procedimento para cada grupo.
Crie um USG na floresta externa de cada grupo de funções que será vinculado a cada novo grupo de funções.
Armazene as credenciais da floresta externa do Active Directory em uma variável. Você só precisará fazer isso uma vez.
$ForeignCredential = Get-Credential
Recupere uma lista de grupos de funções usando o seguinte cmdlet.
Get-RoleGroup
Para cada grupo de funções, qualquer um menos o Gerenciamento da Organização, proceda da seguinte forma.
$RoleGroup = Get-RoleGroup <name of role group to re-create> New-RoleGroup "<role group name> - Linked" -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles
Repita a etapa anterior para cada grupo de funções interno que deseja recriar como um grupo de funções vinculado.
Este exemplo presume que os seguintes valores sejam usados para cada parâmetro:
- LinkedDomainController
DC01.users.contoso.com
- Grupos de funções internos a serem recriados como grupos de funções vinculados
Recipient Management, Server Management
- Grupo externo para grupo de funções vinculado de Gerenciamento de Destinatários
Recipient Management Administrators
- Grupo externo para grupo de funções vinculado de Gerenciamento de Servidores
Server Management Administrators
Usando os valores anteriores, este exemplo recria os grupos de funções de Gerenciamento de Servidores e Gerenciamento de Destinatários como grupos de funções vinculados.
$ForeignCredential = Get-Credential
Get-RoleGroup
$RoleGroup = Get-RoleGroup "Recipient Management"
New-RoleGroup "Recipient Management - Linked" -LinkedForeignGroup "Recipient Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles
$RoleGroup = Get-RoleGroup "Server Management"
New-RoleGroup "Server Management - Linked" -LinkedForeignGroup "Server Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles
Outras Tarefas
Após criar grupos de funções vinculados, você também poderá:
- Adicionar membros a USGs externos usando Computadores e Usuários de Active Directory na floresta externa.
- Remova membros de grupos de funções internos. Para obter mais informações, consulte Remover Membros de um Grupo de Função.
- Adicione funções extras aos novos grupos de funções vinculados. Para obter mais informações, consulte Adicionar uma Função a um Grupo de Função.
- Remova funções de novos grupos de funções vinculados. Para obter mais informações, consulte Remover uma Função de um Grupo de Função.
- Altere os escopos de atribuições de função entre os novos grupos de funções vinculados e as funções de gerenciamento. Para obter mais informações, consulte Alterar o Escopo de Atribuições de Função em um Grupo de Função.
- Crie grupos de funções vinculados adicionais. Para obter mais informações, consulte Criar um Grupo de Função Vinculado.