New-ManagementRoleAssignment
Этот командлет доступен в локальной среде Exchange и в облачной службе. Некоторые параметры и настройки могут отличаться в зависимости от среды.
Командлет New-ManagementRoleAssignment используется для назначения роли управления группе ролей управления, политике назначения ролей управления, пользователю или универсальной группе безопасности (USG).
Сведения о наборах параметров в разделе Синтаксис ниже см. В разделе Синтаксис командлета Exchange.
Синтаксис
New-ManagementRoleAssignment
[[-Name] <String>]
-Role <RoleIdParameter>
-App <ServicePrincipalIdParameter>
[-CustomResourceScope <ManagementScopeIdParameter>]
[-Confirm]
[-Delegating]
[-Force]
[-RecipientAdministrativeUnitScope <AdministrativeUnitIdParameter>]
[-WhatIf]
[<CommonParameters>] New-ManagementRoleAssignment
[[-Name] <String>]
-Computer <ComputerIdParameter>
-Role <RoleIdParameter>
[-Confirm]
[-CustomConfigWriteScope <ManagementScopeIdParameter>]
[-CustomRecipientWriteScope <ManagementScopeIdParameter>]
[-DomainController <Fqdn>]
[-ExclusiveConfigWriteScope <ManagementScopeIdParameter>]
[-ExclusiveRecipientWriteScope <ManagementScopeIdParameter>]
[-Force]
[-RecipientAdministrativeUnitScope <AdministrativeUnitIdParameter>]
[-RecipientOrganizationalUnitScope <OrganizationalUnitIdParameter>]
[-RecipientRelativeWriteScope <RecipientWriteScopeType>]
[-UnScopedTopLevel]
[-WhatIf]
[<CommonParameters>] New-ManagementRoleAssignment
[[-Name] <String>]
-Policy <MailboxPolicyIdParameter>
-Role <RoleIdParameter>
[-Confirm]
[-CustomConfigWriteScope <ManagementScopeIdParameter>]
[-CustomRecipientWriteScope <ManagementScopeIdParameter>]
[-DomainController <Fqdn>]
[-ExclusiveConfigWriteScope <ManagementScopeIdParameter>]
[-ExclusiveRecipientWriteScope <ManagementScopeIdParameter>]
[-Force]
[-RecipientAdministrativeUnitScope <AdministrativeUnitIdParameter>]
[-RecipientOrganizationalUnitScope <OrganizationalUnitIdParameter>]
[-RecipientRelativeWriteScope <RecipientWriteScopeType>]
[-UnScopedTopLevel]
[-WhatIf]
[<CommonParameters>] New-ManagementRoleAssignment
[[-Name] <String>]
-Role <RoleIdParameter>
-SecurityGroup <SecurityGroupIdParameter>
[-Delegating]
[-Confirm]
[-CustomConfigWriteScope <ManagementScopeIdParameter>]
[-CustomRecipientWriteScope <ManagementScopeIdParameter>]
[-DomainController <Fqdn>]
[-ExclusiveConfigWriteScope <ManagementScopeIdParameter>]
[-ExclusiveRecipientWriteScope <ManagementScopeIdParameter>]
[-Force]
[-RecipientAdministrativeUnitScope <AdministrativeUnitIdParameter>]
[-RecipientOrganizationalUnitScope <OrganizationalUnitIdParameter>]
[-RecipientRelativeWriteScope <RecipientWriteScopeType>]
[-UnScopedTopLevel]
[-WhatIf]
[<CommonParameters>] New-ManagementRoleAssignment
[[-Name] <String>]
-Role <RoleIdParameter>
-User <UserIdParameter>
[-Delegating]
[-Confirm]
[-CustomConfigWriteScope <ManagementScopeIdParameter>]
[-CustomRecipientWriteScope <ManagementScopeIdParameter>]
[-DomainController <Fqdn>]
[-ExclusiveConfigWriteScope <ManagementScopeIdParameter>]
[-ExclusiveRecipientWriteScope <ManagementScopeIdParameter>]
[-Force]
[-RecipientAdministrativeUnitScope <AdministrativeUnitIdParameter>]
[-RecipientOrganizationalUnitScope <OrganizationalUnitIdParameter>]
[-RecipientRelativeWriteScope <RecipientWriteScopeType>]
[-UnScopedTopLevel]
[-WhatIf]
[<CommonParameters>] Описание
При добавлении нового назначения роли можно указать встроенную или настраиваемую роль, созданную с помощью командлета New-ManagementRole, а также указать подразделение или предопределенную или настраиваемую область управления для ограничения назначения.
Создать настраиваемые области управления можно с помощью командлета New-ManagementScope, а просмотреть существующие области — с помощью командлета Get-ManagementScope. Если подразделение, предопределенная или настраиваемая область не указаны, к назначению роли применяется неявная область записи роли.
Дополнительные сведения о назначениях ролей управления см. в разделе Общие сведения о назначениях ролей управления.
Для его запуска необходимо получить соответствующие разрешения. В этой статье перечислены все параметры командлета. Но некоторые из них могут быть вам не доступны, если они не включены в назначенные разрешения. Сведения о необходимых разрешениях для запуска командлетов и использования параметров в организации см. в статье Find the permissions required to run any Exchange cmdlet.
Примеры
Пример 1
New-ManagementRoleAssignment -Role "Mail Recipients" -SecurityGroup "Tier 2 Help Desk"В этом примере группе ролей службы поддержки 2 уровня назначается роль получателей почты.
Пример 2
Get-ManagementRole "MyVoiceMail" | Format-Table Name, IsEndUserRole
New-ManagementRoleAssignment -Role "MyVoiceMail" -Policy "Sales end-users"В этом примере политике назначения ролей "Sales end-users" назначается роль MyVoiceMail. Во-первых, свойство IsEndUserRole роли MyVoiceMail проверяется, чтобы убедиться, что оно имеет значение $true, указывая, что это роль конечного пользователя.
После проверки роли на соответствие роли пользователя эта роль назначается политике назначения ролей "Sales end-users".
Пример 3
New-ManagementRoleAssignment -Role "Eng Help Desk" -SecurityGroup "Eng HD Personnel" -RecipientOrganizationalUnitScope contoso.com/Engineering/UsersВ этом примере группе ролей персонала службы поддержки на английском языке назначается роль службы поддержки на английском языке. Это назначение ограничивает область записи получателя этой роли адресом подразделения "contoso.com/Engineering/Users". Пользователи, являющиеся членами группы ролей персонала службы поддержки на английском языке, могут создавать, изменять или удалять объекты только в этом подразделении.
Пример 4
New-ManagementRoleAssignment -Role "Distribution Groups" -SecurityGroup "North America Exec Assistants" -CustomRecipientWriteScope "North America Recipients"В этом примере группе ролей помощников с расширенными правами в Северной Америке назначается роль групп рассылки. Это назначение ограничивает область записи получателя этой роли областью, указанной в настраиваемой области управления получателями Северной Америки. Пользователи, являющиеся членами группы ролей помощников с расширенными правами в Северной Америке, могут создавать, изменять или удалять только объекты группы рассылки, соответствующие указанной настраиваемой области управления получателями.
Пример 5
New-ManagementRoleAssignment -Name "Exchange Servers_John" -Role "Exchange Servers" -User John -CustomConfigWriteScope "Sydney Servers"В этом примере роль Exchange Server назначается Джону. Так как Джон должен управлять только серверами Exchange, расположенными в Сиднее, назначение роли ограничивает область записи конфигурации роли область, указанным в группе настраиваемых ролей конфигурации серверов Сиднея. Юрий может управлять только серверами, которые соответствуют указанной области управления настраиваемых конфигураций.
Пример 6
New-ManagementRoleAssignment -Name "Excl-Mail Recipients_Executive Administrators" -Role "Mail Recipients" -SecurityGroup "Executive Administrators" -ExclusiveRecipientWriteScope "Exclusive-Executive Recipients"В этом примере группе ролей исполнительных администраторов назначается роль получателей почты. Это назначение ограничивает область записи получателя этой роли областью, указанной в монопольной области управления исполнительными получателями. Так как область исполнительных получателей является монопольной, только пользователи группы ролей исполнительных администраторов могут управлять исполнительными получателями, соответствующими монопольной области получателей. Другие пользователи, не имеющие назначение, использующее монопольную область, соответствующую этим же пользователям, не могут изменять исполнительных получателей.
Пример 7
New-ManagementRoleAssignment -Name "Mail Recipients_Contoso Seattle" -Role "Mail Recipients" -SecurityGroup "Contoso Sub - Seattle" -CustomConfigWriteScope "Contoso Databases" -RecipientOrganizationalUnitScope adatum.com/Contoso/Seattle/UsersВ этом примере группе ролей "Contoso Sub - Seattle" назначается роль "Mail Recipients". Администраторы в этой группе ролей должны иметь только возможность создавать и контролировать получателей почты в отдельных базах данных, выделенных для использования подразделению Contoso — корпорации A. Datum (adatum.com). Также этой группе администраторов разрешается управлять только сотрудниками Contoso в офисе в Сиэтле. Это делается путем создания назначения ролей с базой данных область, чтобы ограничить управление получателями почты только базами данных в область базы данных и область подразделения получателя, чтобы ограничить доступ только к объектам получателей в подразделении Contoso Seattle.
Параметры
-App
Этот параметр доступен только в облачной службе.
Параметр App указывает субъект-службу, чтобы назначить роль управления. В частности, значение GUID ServiceId из выходных данных командлета Get-ServicePrincipal (например, 6233fba6-0198-4277-892f-9275bf728bcc).
Подробнее о субъектах-службах см. в разделеОбъекты приложения и субъекта-службы в Azure Active Directory.
Этот параметр нельзя использовать с командлетами SecurityGroup, Policy или User.
| Type: | ServicePrincipalIdParameter |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Exchange Online Protection |
-Computer
Этот параметр доступен только в локальной среде Exchange.
Параметр Computer указывает имя компьютера, которому необходимо назначить роль управления.
Этот параметр нельзя использовать с параметрами SecurityGroup, User или Policy.
| Type: | ComputerIdParameter |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-Confirm
Переключатель подтверждения указывает, показывать или скрывать запрос подтверждения. Влияние этого параметра на командлет зависит от того, требуется ли командлету подтверждение перед выполнением.
- Деструктивные командлеты (например, командлеты Remove-*) имеют встроенную паузу, которая заставляет вас подтвердить команду перед продолжением. Можно пропускать запросы на подтверждение этих командлетов, используя следующий синтаксис:
-Confirm:$false. - Большинство других командлетов (например, командлеты New-* и Set-*) не имеют встроенной приостановки. Для этих командлетов указание переключателя Confirm без значения вводит паузу, которая заставляет вас подтвердить команду перед продолжением.
| Type: | SwitchParameter |
| Aliases: | cf |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection |
-CustomConfigWriteScope
Этот параметр доступен только в локальной среде Exchange.
Параметр CustomConfigWriteScope указывает существующую область конфигурации для связи с назначением роли управления. При использовании параметра CustomConfigWriteScope невозможно использовать параметр ExclusiveConfigWriteScope. Если имя области управления содержит пробелы, его необходимо заключить в кавычки (").
| Type: | ManagementScopeIdParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-CustomRecipientWriteScope
Параметр CustomRecipientWriteScope указывает существующую область управления получателями для связи с назначением роли управления. Если имя области управления содержит пробелы, его необходимо заключить в кавычки ("). При использовании параметра CustomRecipientWriteScope нельзя использовать параметры RecipientOrganizationalUnitScope или ExclusiveRecipientWriteScope.
| Type: | ManagementScopeIdParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection |
-CustomResourceScope
Этот параметр доступен только в облачной службе.
Параметр CustomResourceScope указывает настраиваемую область управления, связанную с этим назначением роли управления. Можно использовать любое значение, однозначно определяющее область управления. Например:
- имя;
- различающееся имя (DN);
- GUID
Если значение содержит пробелы, его необходимо заключить в кавычки (").
Этот параметр используется вместе с параметром App для назначения разрешений субъектам-службам. Дополнительные сведения см. в статье Дополнительные сведения о субъектах-службах см. в статье Объекты приложения и субъекта-службы в Azure Active Directory.
| Type: | ManagementScopeIdParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Exchange Online Protection |
-Delegating
Переключатель Делегирование указывает, может ли пользователь или usG, назначенный роли, делегировать роль другим пользователям или группам. Указывать значение для этого параметра необязательно.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection |
-DomainController
Этот параметр доступен только в локальной среде Exchange.
Параметр DomainController указывает контроллер домена, который используется этим командлетом для чтения или записи данных в Active Directory. Вы определяете контроллер домена по его полному доменному имени (FQDN). Например, dc01.contoso.com.
| Type: | Fqdn |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-ExclusiveConfigWriteScope
Этот параметр доступен только в локальной среде Exchange.
Параметр ExclusiveConfigWriteScope указывает монопольную область управления конфигурацией для связи с новым назначением роли. При использовании параметра ExclusiveConfigWriteScope невозможно использовать параметр CustomConfigWriteScope. Если имя области содержит пробелы, его необходимо заключить в кавычки (").
| Type: | ManagementScopeIdParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-ExclusiveRecipientWriteScope
Параметр ExclusiveRecipientWriteScope указывает монопольную область управления получателями для связи с новым назначением роли. При использовании параметра ExclusiveRecipientWriteScope нельзя использовать параметры CustomRecipientWriteScope или RecipientOrganizationalUnitScope. Если имя области содержит пробелы, его необходимо заключить в кавычки (").
| Type: | ManagementScopeIdParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection |
-Force
Этот параметр доступен только в облачной службе.
Переключатель "Принудительно" скрывает сообщения с предупреждениями или подтверждениями. Указывать значение для этого параметра необязательно.
Этот параметр можно применять для программного выполнения задач, не требующего вмешательства администратора.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Exchange Online Protection |
-Name
Параметр Name указывает имя нового назначения роли управления. Длина этого имени не должна превышать 64 символов. Если имя назначения роли управления содержит пробелы, его необходимо заключить в кавычки ("). Если не указать имя, оно будет создано автоматически.
| Type: | String |
| Position: | 1 |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection |
-Policy
Параметр Policy указывает имя политики назначения ролей управления, которой необходимо назначить роль управления. Если значение содержит пробелы, его необходимо заключить в кавычки (").
Свойству роли IsEndUserRole, указанному с помощью параметра Role, должно быть присвоено значение $true.
Этот параметр нельзя использовать с параметрами App, SecurityGroup, Computer или User.
| Type: | MailboxPolicyIdParameter |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection |
-RecipientAdministrativeUnitScope
Этот параметр работает только в облачной службе.
Параметр RecipientAdministrativeUnitScope указывает административную единицу, к область назначение новой роли.
Административные единицы — это контейнеры ресурсов Azure Active Directory. Доступные административные единицы можно просмотреть с помощью командлета Get-AdministrativeUnit.
| Type: | AdministrativeUnitIdParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection |
-RecipientOrganizationalUnitScope
Параметр RecipientOrganizationalUnitScope указывает подразделение для определения области нового назначения роли. При использовании параметра RecipientOrganizationalUnitScope нельзя использовать параметры CustomRecipientWriteScope или ExclusiveRecipientWriteScope. Чтобы указать подразделение, используйте следующую синтаксическую конструкцию: домен/подразделение. Если имя подразделения содержит пробелы, домен и подразделение необходимо заключить в кавычки (").
| Type: | OrganizationalUnitIdParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection |
-RecipientRelativeWriteScope
Параметр RecipientRelativeWriteScope указывает тип ограничения, которое необходимо применить к области получателей. Допустимые типы: None, Organization, MyGAL, Self и MyDistributionGroups. Параметр RecipientRelativeWriteScope устанавливается автоматически при использовании параметров CustomRecipientWriteScope или RecipientOrganizationalUnitScope.
Хотя значения NotApplicable, OU, MyDirectReports, CustomRecipientScope, MyExecutive, MailboxICanDelegate и ExclusiveRecipientScope отображаются в блоке синтаксиса для этого параметра, они не могут использоваться непосредственно в командной строке. Они предназначены для внутреннего использования командлетом.
| Type: | RecipientWriteScopeType |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection |
-Role
Параметр Role указывает существующую роль для назначения. Можно использовать любое значение, однозначно определяющее роль. Например:
- имя;
- различающееся имя (DN);
- GUID
Если значение содержит пробелы, его необходимо заключить в кавычки (").
Если вы используете параметр App, вы не можете указать роли администратора или пользователя. можно указать только роли приложения (например, Application Mail.Read).
| Type: | RoleIdParameter |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection |
-SecurityGroup
Параметр SecurityGroup указывает имя группы ролей управления или универсальной группы безопасности с поддержкой почты, для назначения роли управления. Если значение содержит пробелы, его необходимо заключить в кавычки (").
Этот параметр нельзя использовать с параметрами App, Policy, Computer или User.
| Type: | SecurityGroupIdParameter |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection |
-UnScopedTopLevel
Этот параметр доступен только в локальной среде Exchange.
По умолчанию этот параметр доступен только в роли Управления ролями UnScoped, и эта роль не назначается ни одной группе ролей. Чтобы использовать этот параметр, необходимо добавить роль UnScoped Role Management в группу ролей (например, в группу ролей Управление организацией). Подробнее см. в разделе Добавление роли в группу ролей.
Параметр UnScopedTopLevel указывает, что роль, предоставляемая с параметром Role, является неуправляемой ролью управления верхнего уровня. Указывать значение для этого параметра необязательно.
Неуправляемые роли управления верхнего уровня могут содержать только пользовательские скрипты или командлеты, отличные от Exchange. Дополнительные сведения см. в разделе Создание роли без параметров.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-User
Параметр User указывает имя или псевдоним пользователя, которому необходимо назначить роль управления. Если значение содержит пробелы, его необходимо заключить в кавычки (").
Этот параметр нельзя использовать с параметрами App, SecurityGroup, Computer или Policy.
| Type: | UserIdParameter |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection |
-WhatIf
Переключатель WhatIf имитирует действия команды. Вы можете использовать его для просмотра результатов изменений без фактического внесения этих изменений. С этим параметром не нужно указывать значение.
| Type: | SwitchParameter |
| Aliases: | wi |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection |
Входные данные
Input types
Сведения о типах входных данных, которые принимает этот командлет, см. в разделе Типы входных и выходных данных командлетов. Если поле Тип ввода для командлета пустое, командлет не принимает входные данные.
Выходные данные
Output types
Сведения о типах возвращаемых данных, которые также называются типами выходных данных, которые принимает этот командлет, см. в разделе Типы входных и выходных данных командлетов. Если поле Тип вывода пусто, командлет не возвращает данные.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по