通过

管理关联角色组

  • 项目

适用于:Exchange Server 2013

可以使用链接管理角色组使外部 Active Directory 林中通用安全组 (USG) 的成员能够管理资源 Active Directory 林中的 Microsoft Exchange Server 2013 组织。 通过将外部林中的 USG 与链接角色组相关联,该 USG 的成员将被授予分配给链接角色组的管理角色提供的权限。 有关链接角色组的详细信息,请参阅 了解管理角色组

若要创建和配置链接角色组,需要使用 New-RoleGroupSet-RoleGroup cmdlet。 有关语法和参数的详细信息,请参阅下列主题:

有关角色组相关的其他管理任务,请参阅 权限

开始前,有必要了解什么?

  • 估计完成每个步骤的时间:5 到 10 分钟

  • 您必须先获得权限,然后才能执行此过程或多个过程。 若要查看所需的权限,请参阅 角色管理权限主题中的"角色组"条目。

  • 不能使用 Exchange 管理中心 (EAC) 创建或配置链接的角色组。 必须使用 Exchange 命令行管理程序。

  • 配置链接角色组至少需要在链接角色组所在的资源 Active Directory 林与用户或 USG 所在的外部 Active Directory 林之间建立单向信任。 资源林必须信任外部林。

  • 您必须具有关于外部 Active Directory 林的以下信息:

    • 凭据:必须具有可以访问外部 Active Directory 林的用户名和密码。 此信息与 New-RoleGroupSet-RoleGroup cmdlet 上的 LinkedCredential 参数一起使用。

    • 域控制器:必须具有外部 Active Directory 林中 Active Directory 域控制器的完全限定域名 (FQDN) 。 此信息与 New-RoleGroupSet-RoleGroup cmdlet 上的 LinkedDomainController 参数一起使用。

    • 外部 USG:必须具有外部 Active Directory 林中 USG 的全名,其中包含要与链接角色组关联的成员。 此信息与 New-RoleGroupSet-RoleGroup cmdlet 上的 LinkedForeignGroup 参数一起使用。

  • 若要了解本主题中的过程可能适用的键盘快捷键,请参阅 Exchange 管理中心内的键盘快捷键

提示

是否有任何疑问? 在 Exchange 论坛中寻求帮助。 访问 Exchange Server 的论坛。

创建链接的角色组

使用命令行管理程序创建没有作用域的链接角色组

若要创建链接角色组并为其分配管理角色,请执行以下操作:

  1. 将外部 Active Directory 林的凭据存储在一个变量中。

    $ForeignCredential = Get-Credential

  2. 使用下面的语法创建链接的角色组。

    New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -Roles <role1, role2, role3...>

  3. 在外部 Active Directory 林中的计算机上使用 Active Directory 用户和计算机向外部 USG 添加成员或从中删除成员。

本示例执行以下操作:

  • 检索 users.contoso.com 外部 Active Directory 林的凭据。 这些凭据用于连接到外部林中的 DC01.users.contoso.com 域控制器。

  • 在安装了 Exchange 2013 的资源林中创建名为 Compliance Role Group 的链接角色组。

  • 将新角色组链接到 users.contoso.com 外部 Active Directory 林中的 Compliance Administrators USG。

  • 将传输规则和日记管理角色分配到新链接角色组。

$ForeignCredential = Get-Credential

New-RoleGroup "Compliance Role Group" -LinkedForeignGroup "Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles "Transport Rules", "Journaling"

使用命令行管理程序创建具有自定义管理作用域的链接角色组

可以使用自定义收件人管理范围和/或自定义配置管理范围创建链接角色组。 若要创建链接角色组并向其分配具有自定义作用域的管理角色,请执行以下操作:

  1. 将外部 Active Directory 林的凭据存储在一个变量中。

    $ForeignCredential = Get-Credential

  2. 使用下面的语法创建链接的角色组。

    New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -CustomConfigWriteScope <name of configuration scope> -CustomRecipientWriteScope <name of recipient scope> -LinkedCredential $ForeignCredential -Roles <role1, role2, role3...>

  3. 在外部 Active Directory 林中的计算机上使用 Active Directory 用户和计算机向外部 USG 添加成员或从中删除成员。

本示例执行以下操作:

  • 检索 users.contoso.com 外部 Active Directory 林的凭据。 这些凭据用于连接到外部林中的 DC01.users.contoso.com 域控制器。

  • 在安装了 Exchange 2013 的资源林中创建名为 Seattle Compliance Role Group 的链接角色组。

  • 将新角色组链接到 users.contoso.com 外部 Active Directory 林中的 Seattle Compliance Administrators USG。

  • 将传输规则和日记管理角色分配到具有 Seattle Recipients 自定义收件人作用域的新链接角色组。

$ForeignCredential = Get-Credential

New-RoleGroup "Seattle Compliance Role Group" -LinkedForeignGroup "Seattle Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -CustomRecipientWriteScope "Seattle Recipients" -Roles "Transport Rules", "Journaling"

有关管理作用域的详细信息,请参阅了解管理角色作用域

使用命令行管理程序创建具有 OU 作用域的链接角色组

可以创建使用 OU 收件人范围的链接角色组。 若要创建链接的角色组并使用 OU 范围向其分配管理角色,请执行以下操作:

  1. 将外部 Active Directory 林的凭据存储在一个变量中。

    $ForeignCredential = Get-Credential

  2. 使用下面的语法创建链接的角色组。

    New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -RecipientOrganizationalUnitScope <OU name> -Roles <role1, role2, role3...>

  3. 在外部 Active Directory 林中的计算机上使用 Active Directory 用户和计算机向外部 USG 添加成员或从中删除成员。

本示例执行以下操作:

  • 检索 users.contoso.com 外部 Active Directory 林的凭据。 这些凭据用于连接到外部林中的 DC01.users.contoso.com 域控制器。

  • 在安装了 Exchange 2013 的资源林中创建名为 Executives Compliance Role Group 的链接角色组。

  • 将新角色组链接到 users.contoso.com 外部 Active Directory 林中的 Executives Compliance Administrators USG。

  • 将传输规则和日记管理角色分配到具有 OU 收件人作用域 Executives OU 的新链接角色组。

$ForeignCredential = Get-Credential

New-RoleGroup "Executives Compliance Role Group" -LinkedForeignGroup "Executives Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -RecipientOrganizationalUnitScope "Executives OU" -Roles "Transport Rules", "Journaling"

有关管理作用域的详细信息,请参阅了解管理角色作用域

更改链接的角色组上的外部 USG

使用命令行管理程序更改链接角色组中的外部 USG

若要更改与链接角色组相关的外部 USG,请执行以下操作:

  1. 将外部 Active Directory 林的凭据存储在一个变量中。

    $ForeignCredential = Get-Credential

  2. 使用以下语法更改现有的链接的角色组上的外部 USG。

    Set-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential

本示例执行以下操作:

  • 检索 users.contoso.com 外部 Active Directory 林的凭据。 这些凭据用于连接到外部林中的 DC01.users.contoso.com 域控制器。

  • 将 Compliance Role Group 角色组上的外部 USG 更改为 Regulatory Compliance Officers。

$ForeignCredential = Get-Credential

Set-RoleGroup "Compliance Role Group" -LinkedForeignGroup "Regulatory Compliance Officers" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential