Добавление роли в группу ролей
Применимо к: Exchange Server 2010
Последнее изменение раздела: 2009-04-27
Если следует предоставить администраторам, которым была назначена группа ролей управления, возможность управлять определенными функциями, следует добавить в группу ролей роли управления, которые отвечают за управление этими функциями. Дополнительные сведения о группах ролей, назначениях ролей управления и областях управления в Microsoft Exchange Server 2010 см. в следующих разделах:
- Общие сведения о группах ролей управления
- Общие сведения о назначениях ролей управления
- Общие сведения об областях применения ролей управления
.gif "Dd638202.note(ru-ru,EXCHG.140).gif") Примечание. |
|---|
| Назначения ролей являются добавочными. Это означает, что все роли суммируются при их оценке. Если пользователю назначены две роли и одна из них содержит командлет, а другая нет, то командлет будет доступен пользователю. |
| Примечание. |
|---|
| Встроенные группы ролей удалить невозможно. По умолчанию назначения ролей не предоставляют право на назначения ролей Управление организацией другим пользователям. Такое право называется делегированием роли. Делегирование роли — это сложная задача. Сведения о предоставлении пользователю разрешения назначать роли для других групп ролей см. в разделе Назначения роли делегата. |
Необходимы сведения о других задачах управления, связанных с администраторами и специалистами? См. раздел Управление администраторами и специалистами.
Необходимые действия
- Создание назначения роли без области с помощью командной консоли
- Создание назначения роли с предварительно определенной областью с помощью командной консоли
- Создание назначения роли с областью, основанной на фильтре получателей, с помощью командной консоли
- Создание назначения роли с областью, основанной на фильтре конфигураций, с помощью командной консоли
- Создание назначения роли с областью подразделений с помощью командной консоли
При создании нового назначения с областью эта область переопределяет неявную область записи роли. Тем не менее, неявная область чтения данной роли по-прежнему применяется. Новая область не может возвращать объекты, которые находятся за пределами неявной области чтения этой роли. Дополнительные сведения см. в разделе Общие сведения об областях применения ролей управления.
Создание назначения роли без области с помощью командной консоли
Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Группы ролей» в разделе Разрешения управления ролями.
| Примечание. |
|---|
| Консоль управления EMC нельзя использовать для создания назначения роли без области. |
Можно создать назначение роли без области между ролью и группой ролей. При этом применяются неявные области чтения и записи роли.
Используйте следующий синтаксис для назначения группе ролей роли без области.
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <role group name> -Role <role name>
В этом примере группе ролей Seattle Compliance назначается роль управления Transport Rules.
New-ManagementRoleAssignment -Name "Transport Rules_Seattle Compliance" -SecurityGroup "Seattle Compliance" -Role "Transport Rules"
Подробные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.
Создание назначения роли с предварительно определенной областью с помощью командной консоли
Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Группы ролей» в разделе Разрешения управления ролями.
| Примечание. |
|---|
| Консоль управления EMC нельзя использовать для создания назначения роли с предварительно определенной областью. |
Если предварительно определенная область соответствует потребностям организации, можно применить эту область к назначению роли, а не создавать новую. Список предварительно определенных областей и их описания см. в разделе Общие сведения об областях применения ролей управления.
Используйте следующий синтаксис для назначения группе ролей роли с предварительно определенной областью.
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <role group name> -Role <role name> -RecipientRelativeWriteScope < MyGAL | MyDistributionGroups | Organization | Self >
В этом примере роль Message Tracking назначается группе ролей Enterprise Support, затем применяется предварительно определенная область Organization.
New-ManagementRoleAssignment -Name "Message Tracking_Enterprise Support" -SecurityGroup "Enterprise Support" -Role "Message Tracking" -RecipientRelativeWriteScope Organization
Подробные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.
Создание назначения роли с областью, основанной на фильтре получателей, с помощью командной консоли
Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Группы ролей» в разделе Разрешения управления ролями.
| Примечание. |
|---|
| Консоль управления EMC нельзя использовать для создания назначения роли с областью, основанной на фильтре получателей. |
При создании области, основанной на фильтре получателей, необходимо включить эту область в команду, используемую для назначения роли группе ролей, используя для этого параметр CustomRecipientWriteScope.
Также можно включить область записи конфигурации при создании назначения роли с областью, основанной на фильтре получателей.
Используйте следующий синтаксис для назначения роли группе ролей с областью, основанной на фильтре получателей.
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <role group name> -Role <role name> -CustomRecipientWriteScope <role scope name>
В этом примере роль Message Tracking назначается группе ролей Seattle Recipient Admins, затем применяется область Seattle Recipients.
New-ManagementRoleAssignment -Name "Message Tracking_Seattle Recipient Admins" -SecurityGroup "Seattle Recipient Admins" -Role "Message Tracking" -CustomRecipientWriteScope "Seattle Recipients"
Подробные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.
Создание назначения роли с областью, основанной на фильтре конфигураций, с помощью командной консоли
Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Группы ролей» в разделе Разрешения управления ролями.
| Примечание. |
|---|
| Консоль управления EMC нельзя использовать для создания назначения роли с областью, основанной на фильтре конфигураций. |
При создании области, основанной на фильтре конфигураций, необходимо включить эту область в команду, используемую для назначения роли группе ролей, используя для этого параметр CustomConfigWriteScope.
Также можно включить область записи получателей при создании назначения роли с областью, основанной на фильтре конфигураций.
Используйте следующий синтаксис для назначения роли группе ролей с областью, основанной на фильтре конфигураций.
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <role group name> -Role <role name> -CustomConfigWriteScope <role scope name>
В этом примере роль Databases назначается группе ролей Seattle Server Admins, затем применяется область Seattle Servers.
New-ManagementRoleAssignment -Name "Databases_Seattle Server Admins" -SecurityGroup "Seattle Server Admins" -Role "Databases" -CustomConfigWriteScope "Seattle Servers"
Подробные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.
Создание назначения роли с областью подразделений с помощью командной консоли
Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Группы ролей» в разделе Разрешения управления ролями.
| Примечание. |
|---|
| Консоль управления EMC нельзя использовать для создания назначения роли с областью подразделений. |
Если необходимо назначить подразделению область записи роли, можно указать подразделение напрямую в параметре RecipientOrganizationalUnitScope.
Используйте приведенную ниже команду для назначения роли группе ролей и ограничения области записи роли определенным подразделением.
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <role group name> -Role <role name> -RecipientOrganizationalUnitScope <OU>
В этом примере роль Mail Recipients назначается группе ролей Seattle Recipient Admins, затем область действия этого назначения сужается до подразделения Sales\Users в домене Contoso.com.
New-ManagementRoleAssignment -Name "Mail Recipients_Seattle Recipient Admins" -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" - RecipientOrganizationalUnitScope contoso.com/sales/users
Подробные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.
Другие задачи
После добавления роли в группу ролей можно выполнить следующие действия: