Добавление роли для пользователя или универсальной группы безопасности

Применимо к: Exchange Server 2010

Последнее изменение раздела: 2009-09-21

Пользователю или универсальной группе безопасности можно назначить роль управления. Назначение роли пользователю или универсальной группе безопасности позволяет предоставить пользователям права на выполнение задач, зависящих от командлетов, сценариев и соответствующих параметров, определенных в роли управления.

Несмотря на то, что роли можно назначать напрямую пользователям и универсальным группам безопасности, рекомендуемым методом предоставления разрешений администраторам и пользователям является использование групп ролей управления и политик назначения ролей управления. Модель предоставления разрешений значительно упрощается за счет использования групп и политик назначения ролей.

Если необходимо назначить роли группе ролей управления или политики назначения ролей управления, см. следующие разделы.

• Добавление роли в группу ролей
• Добавление роли к политике назначения

Если следует добавить членов в группу ролей или назначить пользователю политику назначения ролей, см. следующие разделы.

• Добавление участников в группу роли
• Изменение политики назначения для почтового ящика

Дополнительные сведения см. в разделе Общие сведения об управлении доступом на основе ролей.

Примечание.

Назначения ролей являются аддитивными. Это означает, что все роли суммируются при оценке. Если пользователю назначены две роли и одна из них содержит командлет, а другая нет, то командлет будет доступен пользователю. По умолчанию назначения ролей не предоставляют право на назначения ролей другим пользователям. Чтобы разрешить пользователю назначать роли другим пользователям или универсальным группам безопасности, см. раздел Назначения роли делегата.

Чтобы добавить назначение роли, необходимо использовать командную консоль Exchange.

Необходимые действия

• Создание назначения роли без области
• Создание назначения роли с предварительно определенной относительный областью
• Создание назначения роли с областью, основанной на фильтре получателей
• Создание назначения роли с областью конфигурации на основе списка или фильтра серверов
• Создание назначения ролей с областью применения в подразделениях
• Создание назначения ролей с монопольной областью получателей или конфигураций

При создании нового назначения с областью эта область переопределяет неявную область записи роли. Тем не менее, неявная область чтения данной роли по-прежнему применяется. Новая область не может возвращать объекты, которые находятся за пределами неявной области чтения этой роли. Дополнительные сведения см. в разделе Общие сведения об областях применения ролей управления.

Во всех процедурах, приведенных в этом разделе, используется параметр SecurityGroup для назначения ролей универсальным группам безопасности. Если необходимо назначить роль определенному пользователю, воспользуйтесь параметром User вместо параметра SecurityGroup. В остальном синтаксис всех команд одинаков.

Создание назначения роли без области

Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Назначения ролей» в разделе Разрешения управления ролями.

Можно создать назначение роли без области. При этом применяются неявные области чтения и записи роли.

Используйте следующий синтаксис для назначения роли универсальной группе безопасности без области:

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name>

Например, чтобы назначить роль «Exchange Servers» универсальной группе безопасности SeattleAdmins, выполните следующую команду:

New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers"

Создание назначения роли с предварительно определенной относительный областью

Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Назначения ролей» в разделе Разрешения управления ролями.

Если предварительно определенная относительная область соответствует бизнес-требованиям, можно применить эту область к назначению роли, а не создавать пользовательскую область. Список предварительно определенных областей и их описание содержатся в разделе Общие сведения об областях применения ролей управления.

Используйте следующий синтаксис для назначения роли с предварительно определенной областью универсальной группе безопасности:

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -RecipientRelativeWriteScope < MyDistributionGroups | Organization | Self >

Например, чтобы назначить роль «Exchange Servers» универсальной группе безопасности SeattleAdmins и применить предварительно определенную область Organization, используйте следующую команду:

New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers" -RecipientRelativeWriteScope Organization

Создание назначения роли с областью, основанной на фильтре получателей

Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Назначения ролей» в разделе Разрешения управления ролями.

Если создана область, основанная на фильтре получателей, которую следует использовать для назначения роли, необходимо включить область в команду, используемую для назначения роли универсальной группе безопасности, с помощью параметра CustomRecipientWriteScope. При использовании параметра CustomRecipientWriteScope невозможно использовать параметр RecipientOrganizationalUnitScope.

Чтобы добавить область к назначению роли, ее необходимо создать. Дополнительные сведения см. в разделе Создание регулярной или монопольной области.

Используйте следующий синтаксис для назначения роли универсальной группе безопасности с областью, основанной на фильтре получателей.

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -CustomRecipientWriteScope <role scope name>

Например, чтобы назначить роль «Mail Recipients» универсальной группе безопасности «Seattle Recipient Admins» и применить область «Seattle Recipients», выполните следующую команду:

New-ManagementRoleAssignment -Name "Mail Recipients_Seattle Recipient Admins" -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -CustomRecipientWriteScope "Seattle Recipients"

Создание назначения роли с областью конфигурации на основе списка или фильтра серверов

Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Назначения ролей» в разделе Разрешения управления ролями.

Если создана область конфигурации, основанная на списке или фильтре серверов, которую следует использовать для назначения роли, необходимо включить область в команду, используемую для назначения роли универсальной группе безопасности, с помощью параметра CustomConfigWriteScope.

Чтобы добавить область к назначению роли, ее необходимо создать. Дополнительные сведения см. в разделе Создание регулярной или монопольной области.

Используйте следующий синтаксис для назначения роли универсальной группе безопасности с областью конфигурации:

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -CustomConfigWriteScope <role scope name>

Например, чтобы назначить роль «Exchange Servers» универсальной группе безопасности MailboxAdmins и применить предварительно определенную область «Mailbox Servers», используйте следующую команду:

New-ManagementRoleAssignment -Name "Exchange Servers_MailboxAdmins" -SecurityGroup MailboxAdmins -Role "Exchange Servers" -CustomConfigWriteScope "Mailbox Servers"

Создание назначения ролей с областью применения в подразделениях

Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Назначения ролей» в разделе Разрешения управления ролями.

Если необходимо назначить подразделению область записи роли, можно указать подразделение напрямую в параметре RecipientOrganizationalUnitScope. При использовании параметра RecipientOrganizationalUnitScope невозможно использовать параметр CustomRecipientWriteScope.

Используйте приведенную ниже команду для назначения ролей универсальной группе безопасности и ограничения области записи роли для определенного подразделения.

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -RecipientOrganizationalUnitScope <OU>

Например, чтобы назначить роль «Mail Recipients» универсальной группе безопасности «SalesRecipientAdmins» и ограничить область применения этого назначения подразделением Sales\Users в домене contoso.com, используйте следующую команду.

New-ManagementRoleAssignment -Name "Mail Recipients_SalesRecipientAdmins" -SecurityGroup SalesRecipientAdmins -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users

Создание назначения ролей с монопольной областью получателей или конфигураций

Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Назначения ролей» в разделе Разрешения управления ролями.

Чтобы создать монопольное назначение ролей с монопольной областью получателей или конфигураций, можно использовать те же процедуры, приведенные в разделах Создание назначения роли с областью, основанной на фильтре получателей и Создание назначения роли с областью конфигурации на основе списка или фильтра серверов. Единственное отличие состоит в том, что при создании назначения ролей с монопольной областью, необходимо указать следующие исключительные параметры в зависимости от использования монопольной области получателей или монопольной области конфигураций.

• Монопольные области получателей   Используйте параметр ExclusiveRecipientWriteScope вместо параметра CustomRecipientWriteScope.
• Монопольные области конфигураций   Используйте параметр ExclusiveConfigWriteScope вместо параметра CustomConfigWriteScope.

При выполнении этой процедуры пользователям, которым была назначена роль, могут выполнять действия над объектами, включенными в монопольную область. Дополнительные сведения о монопольных областях см. в разделе Общие сведения об исключительных областях.

Нельзя создать назначение ролей одновременно со стандартной и монопольной областью.

Например, чтобы назначить роль «Mail Recipients» универсальной группе безопасности «Protected User Admins» и применить монопольную область «Protected Users», выполните следующую команду:

New-ManagementRoleAssignment -Name "Mail Recipients_Protected User Admins" -SecurityGroup "Protected User Admins" -Role "Mail Recipients" -ExclusiveRecipientWriteScope "Protected Users"