Управление связанными группами ролей

Область применения: Exchange Server 2013 г.

Связанная группа ролей управления позволяет членам универсальной группы безопасности (USG) в внешнем лесу Active Directory управлять организацией Microsoft Exchange Server 2013 в лесу Active Directory ресурсов. При связывании универсальной группы безопасности во внешнем лесу со связанной группой ролей участникам универсальной группы безопасности предоставляются все разрешения ролей управления, назначенные для связанной группы ролей. Дополнительные сведения о связанных группах ролей см. в разделе Общие сведения о группах ролей управления.

Для создания и настройки связанных групп ролей необходимо использовать командлеты New-RoleGroup и Set-RoleGroup . Подробные сведения о синтаксисе и параметрах см. в следующих разделах:

• New-RoleGroup

• Set-RoleGroup

Дополнительные сведения о задачах управления, связанных с группами ролей, см. в разделе Разрешения.

Что нужно знать перед началом работы

• Предполагаемое время для завершения каждой процедуры: от 5 до 10 минут

• Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "Группы ролей" в разделе Разрешения для управления ролями .

• Вы не можете использовать Центр администрирования Exchange (EAC) для создания или настройки связанных групп ролей. Необходимо использовать командную консоль Exchange.

• Как минимум, для настройки связанной группы ролей требуется установить односторонние отношения доверия между лесом Active Directory ресурсов, в котором будет находиться связанная группа ролей, и внешним лесом Active Directory, в котором находятся пользователи или группы безопасности. Лес ресурсов должен иметь отношения доверия с внешним лесом.

• Необходимо иметь следующие сведения о внешнем лесе Active Directory:

  • Учетные данные. У вас должны быть имя пользователя и пароль, которые могут получить доступ к внешнему лесу Active Directory. Эти сведения используются с параметром LinkedCredential в командлетах New-RoleGroup и Set-RoleGroup .

  • Контроллер домена. Необходимо иметь полное доменное имя (FQDN) контроллера домена Active Directory в внешнем лесу Active Directory. Эти сведения используются с параметром LinkedDomainController в командлетах New-RoleGroup и Set-RoleGroup .

  • Заграничный usg. Необходимо иметь полное имя usG в внешнем лесу Active Directory, который содержит участников, которые вы хотите связать со связанной группой ролей. Эти сведения используются с параметром LinkedForeignGroup в командлетах New-RoleGroup и Set-RoleGroup .

• Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.

Совет

Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по адресу Exchange Server.

Создание связанной группы ролей

Использование командной консоли для создания связанной группы ролей без области

Чтобы создать связанную группу ролей и назначить роли управления для этой группы, выполните следующие действия:

1. Сохраните учетные данные внешнего леса Active Directory в переменной.

   $ForeignCredential = Get-Credential
   

2. Создайте связанную группу ролей, используя следующую синтаксическую конструкцию.

   New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -Roles <role1, role2, role3...>
   

3. Добавление или удаление участников в иностранном usG или из него с помощью Пользователи и компьютеры Active Directory на компьютере в внешнем лесу Active Directory.

В данном примере выполняется следующее:

• Извлекает учетные данные для users.contoso.com внешнего леса Active Directory. Эти данные используются для подключения к контроллеру домена DC01.users.contoso.com во внешнем лесу.

• Создает связанную группу ролей с именем "Группа ролей соответствия требованиям" в лесу ресурсов, где установлен Exchange 2013.

• Связывает новую группу ролей с usG администраторов соответствия требованиям в users.contoso.com внешнем лесу Active Directory.

• Связанной группе ролей назначаются роли управления правилами транспорта и ведением журнала.

$ForeignCredential = Get-Credential

New-RoleGroup "Compliance Role Group" -LinkedForeignGroup "Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles "Transport Rules", "Journaling"

Использование командной консоли для создания связанной группы ролей с настраиваемой областью управления

Можно создавать связанные группы ролей с настраиваемыми областями управления получателями, настраиваемыми областями управления конфигурацией или обоих видов. Чтобы создать связанную группу ролей и назначить для этой группы роли управления с настраиваемыми областями, выполните следующие действия:

1. Сохраните учетные данные внешнего леса Active Directory в переменной.

   $ForeignCredential = Get-Credential
   

2. Создайте связанную группу ролей, используя следующую синтаксическую конструкцию.

   New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -CustomConfigWriteScope <name of configuration scope> -CustomRecipientWriteScope <name of recipient scope> -LinkedCredential $ForeignCredential -Roles <role1, role2, role3...>
   

3. Добавление или удаление участников в иностранном usG или из него с помощью Пользователи и компьютеры Active Directory на компьютере в внешнем лесу Active Directory.

В данном примере выполняется следующее:

• Извлекает учетные данные для users.contoso.com внешнего леса Active Directory. Эти данные используются для подключения к контроллеру домена DC01.users.contoso.com во внешнем лесу.

• Создает связанную группу ролей с именем Seattle Compliance Role Group в лесу ресурсов, где установлен Exchange 2013.

• Связывает новую группу ролей с usG для администраторов соответствия требованиям Сиэтла в users.contoso.com внешнем лесу Active Directory.

• Новой связанной группе ролей с настраиваемой областью получателей «Получатели Сиэтла» назначаются роли управления правилами транспорта и ведением журнала.

$ForeignCredential = Get-Credential

New-RoleGroup "Seattle Compliance Role Group" -LinkedForeignGroup "Seattle Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -CustomRecipientWriteScope "Seattle Recipients" -Roles "Transport Rules", "Journaling"

Дополнительные сведения об областях управления см. в разделе Общие сведения об областях ролей управления.

Использование командной консоли для создания связанной группы ролей с областью подразделения

Можно создавать связанные группы ролей, использующие область получателя подразделения. Чтобы создать связанную группу ролей и назначить для этой группы роли управления с областью подразделения, выполните следующие действия:

1. Сохраните учетные данные внешнего леса Active Directory в переменной.

   $ForeignCredential = Get-Credential
   

2. Создайте связанную группу ролей, используя следующую синтаксическую конструкцию.

   New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -RecipientOrganizationalUnitScope <OU name> -Roles <role1, role2, role3...>
   

3. Добавление или удаление участников в иностранном usG или из него с помощью Пользователи и компьютеры Active Directory на компьютере в внешнем лесу Active Directory.

В данном примере выполняется следующее:

• Извлекает учетные данные для users.contoso.com внешнего леса Active Directory. Эти данные используются для подключения к контроллеру домена DC01.users.contoso.com во внешнем лесу.

• Создает связанную группу ролей с именем Группа ролей соответствия руководителям в лесу ресурсов, где установлен Exchange 2013.

• Связывает новую группу ролей с группой usG руководителей по соответствию требованиям в users.contoso.com внешнем лесу Active Directory.

• Назначаются роли управления правилами транспорта и ведением журнала для новой связанной группы ролей с областью получателей подразделения «Руководители».

$ForeignCredential = Get-Credential

New-RoleGroup "Executives Compliance Role Group" -LinkedForeignGroup "Executives Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -RecipientOrganizationalUnitScope "Executives OU" -Roles "Transport Rules", "Journaling"

Дополнительные сведения об областях управления см. в разделе Общие сведения об областях ролей управления.

Изменение внешнего usG в связанной группе ролей

Использование командной консоли для изменения внешней универсальной группы безопасности для связанной группы ролей

Чтобы изменить внешнюю универсальную группу безопасности, сопоставленную со связанной группой ролей, выполните следующие действия.

1. Сохраните учетные данные внешнего леса Active Directory в переменной.

   $ForeignCredential = Get-Credential
   

2. Измените внешний usG в существующей связанной группе ролей, используя следующий синтаксис.

   Set-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential
   

В данном примере выполняется следующее:

• Извлекает учетные данные для users.contoso.com внешнего леса Active Directory. Эти данные используются для подключения к контроллеру домена DC01.users.contoso.com во внешнем лесу.

• Изменяется внешняя универсальная группа безопасности для группы ролей Compliance Role Group на Regulatory Compliance Officers.

$ForeignCredential = Get-Credential

Set-RoleGroup "Compliance Role Group" -LinkedForeignGroup "Regulatory Compliance Officers" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential