Поделиться через


New-ManagementRoleAssignment

Этот командлет доступен в локальной среде Exchange и в облачной службе. Некоторые параметры и настройки могут отличаться в зависимости от среды.

Командлет New-ManagementRoleAssignment используется для назначения роли управления группе ролей управления, политике назначения ролей управления, пользователю или универсальной группе безопасности (USG).

Сведения о наборах параметров в разделе Синтаксис ниже см. В разделе Синтаксис командлета Exchange.

Синтаксис

New-ManagementRoleAssignment
   [[-Name] <String>]
   -Role <RoleIdParameter>
   -App <ServicePrincipalIdParameter>
   [-CustomResourceScope <ManagementScopeIdParameter>]
   [-Confirm]
   [-Delegating]
   [-Force]
   [-RecipientAdministrativeUnitScope <AdministrativeUnitIdParameter>]
   [-WhatIf]
   [<CommonParameters>]
New-ManagementRoleAssignment
   [[-Name] <String>]
   -Computer <ComputerIdParameter>
   -Role <RoleIdParameter>
   [-Confirm]
   [-CustomConfigWriteScope <ManagementScopeIdParameter>]
   [-CustomRecipientWriteScope <ManagementScopeIdParameter>]
   [-DomainController <Fqdn>]
   [-ExclusiveConfigWriteScope <ManagementScopeIdParameter>]
   [-ExclusiveRecipientWriteScope <ManagementScopeIdParameter>]
   [-Force]
   [-RecipientAdministrativeUnitScope <AdministrativeUnitIdParameter>]
   [-RecipientOrganizationalUnitScope <OrganizationalUnitIdParameter>]
   [-RecipientRelativeWriteScope <RecipientWriteScopeType>]
   [-UnScopedTopLevel]
   [-WhatIf]
   [<CommonParameters>]
New-ManagementRoleAssignment
   [[-Name] <String>]
   -Policy <MailboxPolicyIdParameter>
   -Role <RoleIdParameter>
   [-Confirm]
   [-CustomConfigWriteScope <ManagementScopeIdParameter>]
   [-CustomRecipientWriteScope <ManagementScopeIdParameter>]
   [-DomainController <Fqdn>]
   [-ExclusiveConfigWriteScope <ManagementScopeIdParameter>]
   [-ExclusiveRecipientWriteScope <ManagementScopeIdParameter>]
   [-Force]
   [-RecipientAdministrativeUnitScope <AdministrativeUnitIdParameter>]
   [-RecipientOrganizationalUnitScope <OrganizationalUnitIdParameter>]
   [-RecipientRelativeWriteScope <RecipientWriteScopeType>]
   [-UnScopedTopLevel]
   [-WhatIf]
   [<CommonParameters>]
New-ManagementRoleAssignment
   [[-Name] <String>]
   -Role <RoleIdParameter>
   -SecurityGroup <SecurityGroupIdParameter>
   [-Delegating]
   [-Confirm]
   [-CustomConfigWriteScope <ManagementScopeIdParameter>]
   [-CustomRecipientWriteScope <ManagementScopeIdParameter>]
   [-DomainController <Fqdn>]
   [-ExclusiveConfigWriteScope <ManagementScopeIdParameter>]
   [-ExclusiveRecipientWriteScope <ManagementScopeIdParameter>]
   [-Force]
   [-RecipientAdministrativeUnitScope <AdministrativeUnitIdParameter>]
   [-RecipientOrganizationalUnitScope <OrganizationalUnitIdParameter>]
   [-RecipientRelativeWriteScope <RecipientWriteScopeType>]
   [-UnScopedTopLevel]
   [-WhatIf]
   [<CommonParameters>]
New-ManagementRoleAssignment
   [[-Name] <String>]
   -Role <RoleIdParameter>
   -User <UserIdParameter>
   [-Delegating]
   [-Confirm]
   [-CustomConfigWriteScope <ManagementScopeIdParameter>]
   [-CustomRecipientWriteScope <ManagementScopeIdParameter>]
   [-DomainController <Fqdn>]
   [-ExclusiveConfigWriteScope <ManagementScopeIdParameter>]
   [-ExclusiveRecipientWriteScope <ManagementScopeIdParameter>]
   [-Force]
   [-RecipientAdministrativeUnitScope <AdministrativeUnitIdParameter>]
   [-RecipientOrganizationalUnitScope <OrganizationalUnitIdParameter>]
   [-RecipientRelativeWriteScope <RecipientWriteScopeType>]
   [-UnScopedTopLevel]
   [-WhatIf]
   [<CommonParameters>]

Описание

При добавлении нового назначения роли можно указать встроенную или настраиваемую роль, созданную с помощью командлета New-ManagementRole, а также указать подразделение или предопределенную или настраиваемую область управления для ограничения назначения.

Создать настраиваемые области управления можно с помощью командлета New-ManagementScope, а просмотреть существующие области — с помощью командлета Get-ManagementScope. Если подразделение, предопределенная или настраиваемая область не указаны, к назначению роли применяется неявная область записи роли.

Дополнительные сведения о назначениях ролей управления см. в разделе Общие сведения о назначениях ролей управления.

Для его запуска необходимо получить соответствующие разрешения. В этой статье перечислены все параметры командлета. Но некоторые из них могут быть вам не доступны, если они не включены в назначенные разрешения. Сведения о необходимых разрешениях для запуска командлетов и использования параметров в организации см. в статье Find the permissions required to run any Exchange cmdlet.

Примеры

Пример 1

New-ManagementRoleAssignment -Role "Mail Recipients" -SecurityGroup "Tier 2 Help Desk"

В этом примере группе ролей службы поддержки 2 уровня назначается роль получателей почты.

Пример 2

Get-ManagementRole "MyVoiceMail" | Format-Table Name, IsEndUserRole

New-ManagementRoleAssignment -Role "MyVoiceMail" -Policy "Sales end-users"

В этом примере политике назначения ролей "Sales end-users" назначается роль MyVoiceMail. Во-первых, свойство IsEndUserRole роли MyVoiceMail проверяется, чтобы убедиться, что оно имеет значение $true, указывая, что это роль конечного пользователя.

После проверки роли на соответствие роли пользователя эта роль назначается политике назначения ролей "Sales end-users".

Пример 3

New-ManagementRoleAssignment -Role "Eng Help Desk" -SecurityGroup "Eng HD Personnel" -RecipientOrganizationalUnitScope contoso.com/Engineering/Users

В этом примере группе ролей персонала службы поддержки на английском языке назначается роль службы поддержки на английском языке. Это назначение ограничивает область записи получателя этой роли адресом подразделения "contoso.com/Engineering/Users". Пользователи, являющиеся членами группы ролей персонала службы поддержки на английском языке, могут создавать, изменять или удалять объекты только в этом подразделении.

Пример 4

New-ManagementRoleAssignment -Role "Distribution Groups" -SecurityGroup "North America Exec Assistants" -CustomRecipientWriteScope "North America Recipients"

В этом примере группе ролей помощников с расширенными правами в Северной Америке назначается роль групп рассылки. Это назначение ограничивает область записи получателя этой роли областью, указанной в настраиваемой области управления получателями Северной Америки. Пользователи, являющиеся членами группы ролей помощников с расширенными правами в Северной Америке, могут создавать, изменять или удалять только объекты группы рассылки, соответствующие указанной настраиваемой области управления получателями.

Пример 5

New-ManagementRoleAssignment -Name "Exchange Servers_John" -Role "Exchange Servers" -User John -CustomConfigWriteScope "Sydney Servers"

В этом примере роль Exchange Server назначается Джону. Так как Джон должен управлять только серверами Exchange, расположенными в Сиднее, назначение роли ограничивает область записи конфигурации роли область, указанным в группе настраиваемых ролей конфигурации серверов Сиднея. Юрий может управлять только серверами, которые соответствуют указанной области управления настраиваемых конфигураций.

Пример 6

New-ManagementRoleAssignment -Name "Excl-Mail Recipients_Executive Administrators" -Role "Mail Recipients" -SecurityGroup "Executive Administrators" -ExclusiveRecipientWriteScope "Exclusive-Executive Recipients"

В этом примере группе ролей исполнительных администраторов назначается роль получателей почты. Это назначение ограничивает область записи получателя этой роли областью, указанной в монопольной области управления исполнительными получателями. Так как область исполнительных получателей является монопольной, только пользователи группы ролей исполнительных администраторов могут управлять исполнительными получателями, соответствующими монопольной области получателей. Другие пользователи, не имеющие назначение, использующее монопольную область, соответствующую этим же пользователям, не могут изменять исполнительных получателей.

Пример 7

New-ManagementRoleAssignment -Name "Mail Recipients_Contoso Seattle" -Role "Mail Recipients" -SecurityGroup "Contoso Sub - Seattle" -CustomConfigWriteScope "Contoso Databases" -RecipientOrganizationalUnitScope adatum.com/Contoso/Seattle/Users

В этом примере группе ролей "Contoso Sub - Seattle" назначается роль "Mail Recipients". Администраторы в этой группе ролей должны иметь только возможность создавать и контролировать получателей почты в отдельных базах данных, выделенных для использования подразделению Contoso — корпорации A. Datum (adatum.com). Также этой группе администраторов разрешается управлять только сотрудниками Contoso в офисе в Сиэтле. Это делается путем создания назначения ролей с базой данных область, чтобы ограничить управление получателями почты только базами данных в область базы данных и область подразделения получателя, чтобы ограничить доступ только к объектам получателей в подразделении Contoso Seattle.

Параметры

-App

Этот параметр доступен только в облачной службе.

Параметр App указывает субъект-службу, чтобы назначить роль управления. В частности, значение GUID ServiceId из выходных данных командлета Get-ServicePrincipal (например, 6233fba6-0198-4277-892f-9275bf728bcc).

Подробнее о субъектах-службах см. в разделеОбъекты приложения и субъекта-службы в Azure Active Directory.

Этот параметр нельзя использовать с командлетами SecurityGroup, Policy или User.

Type:ServicePrincipalIdParameter
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-Computer

Этот параметр доступен только в локальной среде Exchange.

Параметр Computer указывает имя компьютера, которому необходимо назначить роль управления.

Этот параметр нельзя использовать с параметрами SecurityGroup, User или Policy.

Type:ComputerIdParameter
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-Confirm

Переключатель подтверждения указывает, показывать или скрывать запрос подтверждения. Влияние этого параметра на командлет зависит от того, требуется ли командлету подтверждение перед выполнением.

  • Деструктивные командлеты (например, командлеты Remove-*) имеют встроенную паузу, которая заставляет вас подтвердить команду перед продолжением. Можно пропускать запросы на подтверждение этих командлетов, используя следующий синтаксис: -Confirm:$false.
  • Большинство других командлетов (например, командлеты New-* и Set-*) не имеют встроенной приостановки. Для этих командлетов указание переключателя Confirm без значения вводит паузу, которая заставляет вас подтвердить команду перед продолжением.
Type:SwitchParameter
Aliases:cf
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection

-CustomConfigWriteScope

Этот параметр доступен только в локальной среде Exchange.

Параметр CustomConfigWriteScope указывает существующую область конфигурации для связи с назначением роли управления. При использовании параметра CustomConfigWriteScope невозможно использовать параметр ExclusiveConfigWriteScope. Если имя области управления содержит пробелы, его необходимо заключить в кавычки (").

Type:ManagementScopeIdParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-CustomRecipientWriteScope

Параметр CustomRecipientWriteScope указывает существующую область управления получателями для связи с назначением роли управления. Если имя области управления содержит пробелы, его необходимо заключить в кавычки ("). При использовании параметра CustomRecipientWriteScope нельзя использовать параметры RecipientOrganizationalUnitScope или ExclusiveRecipientWriteScope.

Type:ManagementScopeIdParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection

-CustomResourceScope

Этот параметр доступен только в облачной службе.

Параметр CustomResourceScope указывает настраиваемую область управления, связанную с этим назначением роли управления. Можно использовать любое значение, однозначно определяющее область управления. Например:

  • имя;
  • различающееся имя (DN);
  • GUID

Если значение содержит пробелы, его необходимо заключить в кавычки (").

Этот параметр используется вместе с параметром App для назначения разрешений субъектам-службам. Дополнительные сведения см. в статье Дополнительные сведения о субъектах-службах см. в статье Объекты приложения и субъекта-службы в Azure Active Directory.

Type:ManagementScopeIdParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-Delegating

Переключатель Делегирование указывает, может ли пользователь или usG, назначенный роли, делегировать роль другим пользователям или группам. Указывать значение для этого параметра необязательно.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection

-DomainController

Этот параметр доступен только в локальной среде Exchange.

Параметр DomainController указывает контроллер домена, который используется этим командлетом для чтения или записи данных в Active Directory. Вы определяете контроллер домена по его полному доменному имени (FQDN). Например, dc01.contoso.com.

Type:Fqdn
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-ExclusiveConfigWriteScope

Этот параметр доступен только в локальной среде Exchange.

Параметр ExclusiveConfigWriteScope указывает монопольную область управления конфигурацией для связи с новым назначением роли. При использовании параметра ExclusiveConfigWriteScope невозможно использовать параметр CustomConfigWriteScope. Если имя области содержит пробелы, его необходимо заключить в кавычки (").

Type:ManagementScopeIdParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-ExclusiveRecipientWriteScope

Параметр ExclusiveRecipientWriteScope указывает монопольную область управления получателями для связи с новым назначением роли. При использовании параметра ExclusiveRecipientWriteScope нельзя использовать параметры CustomRecipientWriteScope или RecipientOrganizationalUnitScope. Если имя области содержит пробелы, его необходимо заключить в кавычки (").

Type:ManagementScopeIdParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection

-Force

Этот параметр доступен только в облачной службе.

Переключатель "Принудительно" скрывает сообщения с предупреждениями или подтверждениями. Указывать значение для этого параметра необязательно.

Этот параметр можно применять для программного выполнения задач, не требующего вмешательства администратора.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-Name

Параметр Name указывает имя нового назначения роли управления. Длина этого имени не должна превышать 64 символов. Если имя назначения роли управления содержит пробелы, его необходимо заключить в кавычки ("). Если не указать имя, оно будет создано автоматически.

Type:String
Position:1
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection

-Policy

Параметр Policy указывает имя политики назначения ролей управления, которой необходимо назначить роль управления. Если значение содержит пробелы, его необходимо заключить в кавычки (").

Свойству роли IsEndUserRole, указанному с помощью параметра Role, должно быть присвоено значение $true.

Этот параметр нельзя использовать с параметрами App, SecurityGroup, Computer или User.

Type:MailboxPolicyIdParameter
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection

-RecipientAdministrativeUnitScope

Этот параметр работает только в облачной службе.

Параметр RecipientAdministrativeUnitScope указывает административную единицу, к область назначение новой роли.

Административные единицы — это контейнеры ресурсов Azure Active Directory. Доступные административные единицы можно просмотреть с помощью командлета Get-AdministrativeUnit.

Type:AdministrativeUnitIdParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection

-RecipientOrganizationalUnitScope

Параметр RecipientOrganizationalUnitScope указывает подразделение для определения области нового назначения роли. При использовании параметра RecipientOrganizationalUnitScope нельзя использовать параметры CustomRecipientWriteScope или ExclusiveRecipientWriteScope. Чтобы указать подразделение, используйте следующую синтаксическую конструкцию: домен/подразделение. Если имя подразделения содержит пробелы, домен и подразделение необходимо заключить в кавычки (").

Type:OrganizationalUnitIdParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection

-RecipientRelativeWriteScope

Параметр RecipientRelativeWriteScope указывает тип ограничения, которое необходимо применить к области получателей. Допустимые типы: None, Organization, MyGAL, Self и MyDistributionGroups. Параметр RecipientRelativeWriteScope устанавливается автоматически при использовании параметров CustomRecipientWriteScope или RecipientOrganizationalUnitScope.

Хотя значения NotApplicable, OU, MyDirectReports, CustomRecipientScope, MyExecutive, MailboxICanDelegate и ExclusiveRecipientScope отображаются в блоке синтаксиса для этого параметра, они не могут использоваться непосредственно в командной строке. Они предназначены для внутреннего использования командлетом.

Type:RecipientWriteScopeType
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection

-Role

Параметр Role указывает существующую роль для назначения. Можно использовать любое значение, однозначно определяющее роль. Например:

  • имя;
  • различающееся имя (DN);
  • GUID

Если значение содержит пробелы, его необходимо заключить в кавычки (").

Если вы используете параметр App, вы не можете указать роли администратора или пользователя. можно указать только роли приложения (например, Application Mail.Read).

Type:RoleIdParameter
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection

-SecurityGroup

Параметр SecurityGroup указывает имя группы ролей управления или универсальной группы безопасности с поддержкой почты, для назначения роли управления. Если значение содержит пробелы, его необходимо заключить в кавычки (").

Этот параметр нельзя использовать с параметрами App, Policy, Computer или User.

Type:SecurityGroupIdParameter
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection

-UnScopedTopLevel

Этот параметр доступен только в локальной среде Exchange.

По умолчанию этот параметр доступен только в роли Управления ролями UnScoped, и эта роль не назначается ни одной группе ролей. Чтобы использовать этот параметр, необходимо добавить роль UnScoped Role Management в группу ролей (например, в группу ролей Управление организацией). Подробнее см. в разделе Добавление роли в группу ролей.

Параметр UnScopedTopLevel указывает, что роль, предоставляемая с параметром Role, является неуправляемой ролью управления верхнего уровня. Указывать значение для этого параметра необязательно.

Неуправляемые роли управления верхнего уровня могут содержать только пользовательские скрипты или командлеты, отличные от Exchange. Дополнительные сведения см. в разделе Создание роли без параметров.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-User

Параметр User указывает имя или псевдоним пользователя, которому необходимо назначить роль управления. Если значение содержит пробелы, его необходимо заключить в кавычки (").

Этот параметр нельзя использовать с параметрами App, SecurityGroup, Computer или Policy.

Type:UserIdParameter
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection

-WhatIf

Переключатель WhatIf имитирует действия команды. Вы можете использовать его для просмотра результатов изменений без фактического внесения этих изменений. С этим параметром не нужно указывать значение.

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection

Входные данные

Input types

Сведения о типах входных данных, которые принимает этот командлет, см. в разделе Типы входных и выходных данных командлетов. Если поле Тип ввода для командлета пустое, командлет не принимает входные данные.

Выходные данные

Output types

Сведения о типах возвращаемых данных, которые также называются типами выходных данных, которые принимает этот командлет, см. в разделе Типы входных и выходных данных командлетов. Если поле Тип вывода пусто, командлет не возвращает данные.