管理 Exchange Server 中的角色组
管理角色组是 Exchange Server 中基于角色的访问控制 (RBAC) 权限模型中使用的通用安全组 (USG) 。 管理角色组可简化向用户组分配管理角色。 角色组的所有成员都被授予相同的角色集。 有关 Exchange Server 中的角色组的详细信息,请参阅 了解管理角色组。
有关角色组相关的其他管理任务,请参阅 权限。
开始前,有必要了解什么?
估计完成每个步骤的时间:5 到 10 分钟
若要打开 EAC,请参阅 Exchange Server 中的 Exchange 管理中心。 若要打开 EAC,请参阅 Exchange Server 中的 Exchange 管理中心中。若要打开 Exchange 命令行管理程序,请参阅打开 Exchange 命令行管理程序。
你必须先获得权限,然后才能执行此过程或多个过程。 若要查看所需的权限,请参阅 角色管理权限主题中的"角色组"条目。
若要了解本主题中的过程可能适用的键盘快捷键,请参阅 Exchange 管理中心内的键盘快捷键。
提示
是否有任何疑问? 请在 Exchange 论坛中寻求帮助。 请访问以下论坛:Exchange Server、Exchange Online 或 Exchange Online Protection。
创建角色组
如果要自定义可以分配给用户组的权限,请新建一个自定义管理角色组。
使用 EAC 创建角色组
在 Exchange 管理中心 (EAC) 中,导航到 “权限>管理员角色” ,然后单击“ 添加。
在 “新建角色组 ”窗口中,提供新角色组的名称。
您可以现在选择要分配给角色组的角色以及要添加到角色组的成员,也可以另选时间执行此操作。
选择要应用于新角色组的写入作用域。
单击“保存”创建角色组。
使用 Exchange 命令行管理程序创建角色组
To create a role group, see the Examples section in New-RoleGroup.
如何知道操作成功?
若要验证是否已成功创建了角色组,请执行以下操作:
在 EAC 中,导航到 “权限>管理员角色”。
验证新的角色组是否显示在角色组列表中,然后选择它。
验证在新角色组上指定的成员、分配的角色和作用域是否在角色组详细信息窗格中列出。
复制角色组
使用 EAC 复制角色组
如果您拥有的角色组包含您希望授予用户的权限,但您希望在无须手动添加所有其他角色的情况下应用其他管理作用域,或删除或添加一个或两个管理角色,则您可以复制现有角色组。
重要
如果已经使用 Exchange 命令行管理程序在角色组上配置多个管理角色作用域或独占作用域,则无法使用 EAC 复制角色组。 如果已在角色组上配置多个范围或独占范围,则必须使用本主题后面的 Exchange 命令行管理程序过程来复制角色组。 有关管理角色范围的详细信息,请参阅 了解管理角色范围。
在 EAC 中,导航到 “权限>管理员角色”。
选择要复制的角色组,然后单击“ 复制。
在 “新建角色组 ”窗口中,提供新角色组的名称。
审查已复制到新角色组的角色。 根据需要添加或删除角色。
审查写入作用域,并根据需要更改。
审查已复制到新角色组的成员。 根据需要添加或删除成员。
单击“保存”创建角色组。
使用 Exchange 命令行管理程序复制没有作用域的角色组
请使用以下语法将想要复制的角色组存储在变量中。
$RoleGroup = Get-RoleGroup <name of role group to copy>
请使用以下语法创建新角色组,并将成员添加到该角色组,然后指定可以将该角色组委派给其他用户的用户。
New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -Members <member1, member2, member3...> -ManagedBy <user1, user2, user3...>
例如,使用以下命令复制"Organization Management"角色组并将新角色组命名为"Limited Organization Management"。 将添加成员 Isabelle、Carter 和 Lukas,并可由 Jenny 和 Katie 进行委派。
$RoleGroup = Get-RoleGroup "Organization Management" New-RoleGroup "Limited Organization Management" -Roles $RoleGroup.Roles -Members Isabelle, Carter, Lukas -ManagedBy Jenny, Katie
创建新角色组后,可以添加或删除角色、更改角色的角色分配范围以及执行其他操作。
有关语法和参数的详细信息,请参阅 Get-RoleGroup 和 New-RoleGroup。
使用 Exchange 命令行管理程序复制具有自定义范围的角色组
请使用以下语法将想要复制的角色组存储在变量中。
$RoleGroup = Get-RoleGroup <name of role group to copy>
请使用以下语法创建有自定义作用域的新角色组。
New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name>
例如,使用以下命令复制"Organization Management"角色组并创建名为"Vancouver Organization Management"的新角色组,该角色组具有"Vancouver Users"收件人作用域和"Vancouver Servers configuration"配置作用域。
$RoleGroup = Get-RoleGroup "Organization Management"
New-RoleGroup "Vancouver Organization Management" -Roles $RoleGroup.Roles -CustomRecipientWriteScope "Vancouver Users" -CustomConfigWriteScope "Vancouver Servers"
在创建角色组时,还可以使用 Members 参数将成员添加到角色组,如本主题前面的 使用 Exchange 命令行管理程序创建没有作用域的角色分配 中所示。 有关管理作用域的详细信息,请参阅Understanding Management Scopes。
创建新角色组后,可以添加或删除角色、更改角色的角色分配范围以及执行其他任务。
有关语法和参数的详细信息,请参阅 Get-RoleGroup 和 New-RoleGroup。
使用 Exchange 命令行管理程序复制具有 OU 范围的角色组
请使用以下语法将想要复制的角色组存储在变量中。
$RoleGroup = Get-RoleGroup <name of role group to copy>
请使用以下语法创建有自定义作用域的新角色组。
New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -RecipientOrganizationalUnitScope <OU name>
例如,使用以下命令复制"Recipient Management"角色组并创建名为"Toronto Recipient Management"的新角色组,该角色组允许在"Toronto Users"OU 中仅管理用户。
$RoleGroup = Get-RoleGroup "Recipient Management"
New-RoleGroup "Toronto Recipient Management" -Roles $RoleGroup.Roles -RecipientOrganizationalUnitScope "contoso.com/Toronto Users"
在创建角色组时,还可以使用 Members 参数将成员添加到角色组,如本主题前面的 使用 Exchange 命令行管理程序创建没有作用域的角色分配 中所示。 有关管理作用域的详细信息,请参阅Understanding Management Scopes。
创建新角色组后,可以添加或删除角色、更改角色的角色分配范围以及执行其他操作。
有关语法和参数的详细信息,请参阅 Get-RoleGroup 和 New-RoleGroup。
如何知道操作成功?
若要验证是否已成功复制了角色组,请执行以下操作:
在 EAC 中,导航到 “权限>管理员角色”。
验证已复制的角色组是否显示在角色组列表中,然后选择它。
验证在已复制的角色组上指定的成员、分配的角色和作用域是否在角色组详细信息窗格中列出。
删除角色组
如果不再需要所创建的角色组,则可以将其删除。 删除角色组时,也将删除角色组和管理角色之间的管理角色分配。 管理角色不会被删除。 如果用户依赖于此角色组来访问某个功能,则该用户将不再拥有访问此功能的权限。 无法删除内置角色组。
使用 EAC 删除角色组
在 EAC 中,导航到 “权限>管理员角色”。
选择要删除的角色组,然后单击“ 删除”。
验证是否要删除所选角色组,如果是,请响应 “是 ”警告。
使用 Exchange 命令行管理程序删除角色组
To remove a role group, see the Examples section in Remove-RoleGroup.
查看角色组
您可以查看角色组的列表,也可以查看有关组织中存在的特定角色组的详细信息。
使用 EAC 查看角色组列表和角色组详细信息
在 EAC 中,导航到 “权限>管理员角色”。 这里列出了你组织中的所有角色组。
选择一个角色组,以查看角色组上配置的成员、分配的角色和作用域。
使用 Exchange 命令行管理程序查看角色组和角色组详细信息的列表
To view a list of role groups, see the Examples section in Get-RoleGroup.
向角色组添加角色
将管理角色添加到角色组是向一组管理员或专家用户授予权限的最好且最简单的方式。 如果要使作为角色组成员的用户能够管理某个功能,需要将管理该功能的管理角色添加到角色组。 在添加角色之后,即会向角色组成员授予该角色所提供的权限。
使用 EAC 将管理角色添加到角色组
重要
如果使用 Exchange 命令行管理程序在角色组上配置多个管理角色范围或独占范围,则无法使用 EAC 将角色添加到角色组。 如果在角色组上配置了多个范围或独占范围,则必须使用本主题后面的 Exchange 命令行管理程序过程向角色组添加角色。 有关管理角色范围的详细信息,请参阅 了解管理角色范围。
在 EAC 中,导航到 “权限>管理员角色”。
选择要向其添加角色的角色组,然后单击“编辑
在 “角色 ”部分中,选择要添加到角色组的角色。
将角色添加到角色组后,单击“ 保存”。
使用 Exchange 命令行管理程序创建没有作用域的角色分配
可以在角色和角色组之间创建无作用域的角色分配。 这样做时,角色的隐式读取和隐式写入作用域都适用。
使用以下语法可将没有任何作用域的角色分配给角色组。 如果不指定角色分配名称,则会自动创建一个角色分配名称。
New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name>
此示例将 Transport Rules 管理角色分配给 Seattle Compliance 角色组。
New-ManagementRoleAssignment -SecurityGroup "Seattle Compliance" -Role "Transport Rules"
有关语法和参数的详细信息,请参阅 New-ManagementRoleAssignment。
使用 Exchange 命令行管理程序创建具有预定义范围的角色分配
如果预定义作用域满足你的业务要求,则可以将该作用域应用于角色分配,而不是新建一个角色分配。 有关预定义范围及其说明的列表,请参阅 了解管理角色范围。
有关角色分配的详细信息,请参阅 了解管理角色分配。
使用以下语法可将角色分配给具有预定义作用域的角色组。 如果不指定角色分配名称,则会自动创建一个角色分配名称。
New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -RecipientRelativeWriteScope < MyGAL | MyDistributionGroups | Organization | Self >
此示例将 Message Tracking 角色分配给 Enterprise Support 角色组,并应用 Organization 预定义作用域。
New-ManagementRoleAssignment -SecurityGroup "Enterprise Support" -Role "Message Tracking" -RecipientRelativeWriteScope Organization
有关语法和参数的详细信息,请参阅 New-ManagementRoleAssignment。
使用 Exchange 命令行管理程序创建基于收件人筛选器的范围的角色分配
如果创建了基于收件人筛选器的范围,则需要在使用 CustomRecipientWriteScope 参数将角色分配给角色组的命令中包含范围。
创建具有收件人写入作用域的角色分配时,也可以包含配置写入作用域。
此以用户为中心的角色具有无法修改的隐式作用域。因此,不应向将此角色分配给角色分配策略、角色组、USG 或用户的角色分配中添加自定义作用域。
使用以下语法可将角色分配给具有基于收件人筛选器的作用域的角色组。 如果不指定角色分配名称,则会自动创建一个角色分配名称。
New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -CustomRecipientWriteScope <role scope name>
此示例将 Message Tracking 角色分配给 Seattle Recipient Admins 角色组,并应用 Seattle Recipients 作用域。
New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Message Tracking" -CustomRecipientWriteScope "Seattle Recipients"
有关语法和参数的详细信息,请参阅 New-ManagementRoleAssignment。
使用 Exchange 命令行管理程序创建具有配置范围的角色分配
如果创建了服务器或数据库配置筛选器或基于列表的范围,则需要在使用 CustomConfigWriteScope 参数将角色分配给角色组的命令中包含范围。
创建具有配置写入作用域的角色分配时,也可以包含收件人写入作用域。
配置写入作用域:确定角色组成员允许在 exADNoMk 中修改的组织对象和服务器对象。
使用以下语法可将角色分配到具有配置作用域的角色组。 如果不指定角色分配名称,则会自动创建一个角色分配名称。
New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -CustomConfigWriteScope <role scope name>
此示例将 Databases 角色分配给 Seattle Server Admins 角色组,并应用 Seattle Servers 作用域。
New-ManagementRoleAssignment -SecurityGroup "Seattle Server Admins" -Role "Databases" -CustomConfigWriteScope "Seattle Servers"
有关语法和参数的详细信息,请参阅 New-ManagementRoleAssignment。
使用 Exchange 命令行管理程序创建具有 OU 范围的角色分配
如果要将角色的写入范围限定为 OU,可以直接在 RecipientOrganizationalUnitScope 参数中指定 OU。
配置写入作用域:确定角色组成员允许在 exADNoMk 中修改的组织对象和服务器对象。
使用以下命令可将角色分配给角色组,并将角色的写入作用域限制为特定的 OU。 如果不指定角色分配名称,则会自动创建一个角色分配名称。
New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -RecipientOrganizationalUnitScope <OU>
此示例将 Mail Recipients 角色分配给 Seattle Recipient Admins 角色组,并将该分配的作用域限定为 Contoso.com 域中的 Sales\Users OU。
New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users
有关语法和参数的详细信息,请参阅 New-ManagementRoleAssignment。
如何知道操作成功?
若要验证是否已成功将角色添加到角色组,请执行以下操作:
在 EAC 中,导航到 “权限>管理员角色”。
选择要将角色添加到的角色组。 在角色组详细信息窗格中,验证添加的角色是否列出。
从角色组中删除角色
从管理角色组中删除角色是吊销授予给一组管理员或专家用户的权限的最佳且最简单的方式。 如果你不希望管理员或专家用户拥有管理某一功能的权限,则将管理角色从管理这些权限的管理角色组中删除。 删除角色后,角色组的成员将不再拥有管理该功能的权限。
注意
一些角色组(例如 组织管理 角色组)会限制可以从角色组中删除哪些角色。 有关详细信息,请参阅 了解管理角色组。 > 如果管理员是另一个角色组的成员,该角色组包含授予该功能管理权限的管理角色,则需要从其他角色组中删除管理员,或者从其他角色组中删除授予该功能管理权限的角色。
使用 EAC 从角色组中删除管理角色
重要
如果使用 Exchange 命令行管理程序在角色组上配置多个范围或独占范围,则不能使用 EAC 从角色组中删除角色。 如果已在角色组上配置多个范围或独占范围,则必须使用本主题后面的 Exchange 命令行管理程序过程从角色组中删除角色。 有关管理角色范围的详细信息,请参阅 了解管理角色范围。
在 EAC 中,导航到 “权限>管理员角色”。
选择要从中删除角色的角色组,然后单击“编辑
在 “角色 ”部分中,选择要从角色组中删除的角色。
从角色组中删除角色后,单击“ 保存”。
使用 Exchange 命令行管理程序从角色组中删除角色
可以通过使用 Get-ManagementRoleAssignment cmdlet 检索关联的管理角色分配,然后管道将返回到 Remove-ManagementRoleAssignment cmdlet 的角色分配从角色组中删除角色。 除非你希望同时删除委派角色分配和常规角色分配,否则请指定 “委派 ”参数以指定是删除常规角色分配还是要委派角色分配。
有关常规角色分配和委派角色分配的详细信息,请参阅Understanding Management Role Assignments。
此过程使用管道进行传输。 有关管道的详细信息,请参阅 about_Pipelines。
若要从角色组删除角色,请使用下列语法。
Get-ManagementRoleAssignment -RoleAssignee <role group name> -Role <role name> -Delegating <$true | $false> | Remove-ManagementRoleAssignment
本示例将通讯组角色(该角色使管理员能够管理通讯组)从 Seattle Recipient Administrators 角色组中删除。 由于我们想要删除提供管理通讯组权限的角色分配,因此 ,Delegating 参数设置为 $False
,它仅返回常规角色分配。
Get-ManagementRoleAssignment -RoleAssignee "Seattle Recipient Administrators" -Role "Distribution Groups" -Delegating $false | Remove-ManagementRoleAssignment
有关语法和参数的详细信息,请参阅 Remove-ManagementRoleAssignment。
如何知道操作成功?
若要验证是否已成功从角色组中删除角色,请执行以下操作:
在 EAC 中,导航到 “权限>管理员角色”。
选择从中删除了角色的角色组。 在角色组详细信息窗格中,验证删除的角色是否不再列出。
更改角色组的作用域
角色组和角色之间的管理角色分配包含管理作用域,管理作用域确定该角色组成员可用的对象。 通过更改角色组上的写入作用域,可以更改角色组成员可创建、更改或删除的对象。 不能更改角色组上的读取作用域。
Exchange Server 包括未创建自定义范围时默认应用于角色分配的范围。 如果你要对角色组上的角色分配使用自定义作用域,则必须首先创建一个自定义作用域。 有关创建自定义范围(这是一项高级任务)的详细信息,请参阅 创建常规范围或独占范围。
有关 Exchange Server 中管理角色范围和分配的详细信息,请参阅以下主题:
使用 EAC 更改角色组上的作用域
在使用 EAC 更改某个角色组上的作用域时,你实际更改的是该角色组与分配给该角色组的每个管理角色之间所有角色分配上的作用域。 如果要更改特定角色分配的范围,则必须使用本主题后面的 Exchange 命令行管理程序过程。
重要
如果使用 Exchange 命令行管理程序在这些角色分配上配置多个范围或独占范围,则不能使用 EAC 管理角色和角色组之间的角色分配范围。 如果已针对这些角色分配配置了多个范围或独占范围,则必须使用本主题后面的 Exchange 命令行管理程序过程来管理范围。 有关管理角色范围的详细信息,请参阅 了解管理角色范围。
在 EAC 中,导航到 “权限>管理员角色”。
选择要更改其范围的角色组,然后单击“编辑
从以下两个“写入作用域”选项中选择一个:
下拉框中的写入作用域,您可从中选择默认的写入作用域或自定义的写入作用域。
组织单位:如果想要将此角色组的范围限定为 OU,请选择此选项并提供组织单位 (OU) 。
单击“保存”以保存对角色组的更改。
使用 Exchange 命令行管理程序同时更改角色组上所有角色分配的范围
角色组与分配给它的角色之间的角色分配可以使用从角色本身获取的隐式作用域、相同的自定义作用域或不同的自定义作用域。 有关角色分配的详细信息,请参阅 了解管理角色分配。
角色分配的范围使用 Set-ManagementRoleAssignment cmdlet 进行管理。 无法使用 Set-RoleGroup cmdlet 管理范围。
若要同时更改角色组与管理角色组之间所有角色分配的作用域,需要首先检索该角色组上的角色分配,然后在每个分配上设置新作用域。 为此,可以使用 Get-ManagementRoleAssignment cmdlet 检索角色分配,然后通过管道将其传递给 Set-ManagementRoleAssignment cmdlet。
此过程使用管道和 WhatIf 开关的概念。 有关详细信息,请参阅下列主题:
若要同时设置角色组的所有角色分配的作用域,请使用以下语法。
Get-ManagementRoleAssignment -RoleAssignee <name of role group> | Set-ManagementRoleAssignment -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name> -RecipientRelativeScopeWriteScope < MyDistributionGroups | Organization | Self> -ExclusiveRecipientWriteScope <exclusive recipient scope name> -ExclusiveConfigWriteScope <exclusive configuration scope name> -RecipientOrganizationalUnitScope <organizational unit>
仅使用配置要使用的作用域时所需的参数。 例如,如果要将 Sales Recipient Management 角色组上的所有角色分配的收件人作用域更改为 Direct Sales Employees,请使用以下命令。
Get-ManagementRoleAssignment -RoleAssignee "Sales Recipient Management" | Set-ManagementRoleAssignment -CustomRecipientWriteScope "Direct Sales Employees"
注意
可以使用 WhatIf 开关验证是否仅更改了要更改的角色分配。 使用 WhatIf 开关运行上述命令以验证结果,然后删除 WhatIf 开关以应用更改。
有关更改管理角色分配的详细信息,请参阅 更改角色分配。
有关语法和参数的详细信息,请参阅 Get-ManagementRoleAssignment。
使用 Exchange 命令行管理程序更改角色组上各个角色分配的范围
角色组与分配给它的角色之间的角色分配可以使用从角色本身获取的隐式作用域、相同的自定义作用域或不同的自定义作用域。 有关角色分配的详细信息,请参阅 了解管理角色分配。
角色分配的范围使用 Set-ManagementRoleAssignment cmdlet 进行管理。 无法使用 Set-RoleGroup cmdlet 管理范围。
此过程使用管道和 Format-List cmdlet 的概念。 有关详细信息,请参阅下列主题:
若要更改角色组与管理角色之间的角色分配上的作用域,首先要找到该角色分配的名称,然后在该角色分配上设置作用域。
若要查找角色组上所有角色分配的名称,请使用以下命令。 通过将管理角色分配管道到 Format-List cmdlet,可以查看分配的完整名称。
Get-ManagementRoleAssignment -RoleAssignee <role group name> | Format-List Name
查找要更改的角色分配的名称。 请在下一步中使用该角色分配的名称。
若要在单个分配上设置作用域,请使用以下语法。
Set-ManagementRoleAssignment <role assignment name> -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name> -RecipientRelativeScopeWriteScope < MyDistributionGroups | Organization | Self> -ExclusiveRecipientWriteScope <exclusive recipient scope name> -ExclusiveConfigWriteScope <exclusive configuration scope name> -RecipientOrganizationalUnitScope <organizational unit>
仅使用配置要使用的作用域时所需的参数。 例如,如果要将 Mail Recipients_Sales Recipient Management 角色分配的收件人作用域更改为 All Sales Employees,请使用以下命令。
Set-ManagementRoleAssignment "Mail Recipients_Sales Recipient Management" -CustomRecipientWriteScope "All Sales Employees"
有关更改管理角色分配的详细信息,请参阅 更改角色分配。
有关语法和参数的详细信息,请参阅 Set-ManagementRoleAssignment。
如何知道操作成功?
若要验证是否已成功更改角色组上角色分配的作用域,请执行以下操作:
如果已使用 EAC 配置角色组上的作用域,则执行以下操作:
在 EAC 中,导航到 “权限>管理员角色”。 这里列出了组织中的所有角色组。
选择某个角色组,以查看该角色组上配置的作用域。
如果使用 Exchange 命令行管理程序在角色组上配置范围,请执行以下操作:
在 Exchange 命令行管理程序 中运行以下命令。
Get-ManagementRoleAssignment -RoleAssignee <role group name> | Format-Table *WriteScope
验证角色分配上的写入作用域是否已更改为您指定的作用域。
添加或删除角色组委派
角色组委派是指可以向角色组中添加或从中删除成员或更改角色组属性的用户或通用安全组 (USG)。 通过添加或删除角色组委派,可以控制允许哪个用户管理角色组。
重要
向角色组添加委派之后,该角色组将只能由该角色组上的委派进行管理,或由直接或间接获得 Role Management 管理角色的用户进行管理。 >如果用户直接或间接分配了角色管理角色,并且未添加为角色组的代理人,则用户必须使用 Add-RoleGroupMember、Remove-RoleGroupMember、Update-RoleGroupMember 和 Set-RoleGroup cmdlet 上的 BypassSecurityGroupManagerCheck 开关来管理角色组。
注意
不能使用 EAC 将委派添加到角色组。
使用 Exchange 命令行管理程序将委托添加到角色组
若要更改角色组上的委托列表,请在 Set-RoleGroup cmdlet 上使用 ManagedBy 参数。 ManagedBy 参数覆盖角色组上的整个委托列表。 如果你想要将委派添加到角色组而不是替换整个委派列表,请按以下步骤操作:
使用以下命令将角色组存储在一个变量中。
$RoleGroup = Get-RoleGroup <role group name>
使用以下命令将委派添加到存储在变量中的角色组。
$RoleGroup.ManagedBy += (Get-User <user to add>).Identity
注意
如果要添加 USG,请使用 Get-Group cmdlet。
请对要添加的每个委派重复步骤 2。
使用以下命令将新的委派列表应用于实际的角色组。
Set-RoleGroup <role group name> -ManagedBy $RoleGroup.ManagedBy
本示例将用户 David Strome 添加为 组织管理 角色组上的一个委派。
$RoleGroup = Get-RoleGroup "Organization Management"
$RoleGroup.ManagedBy += (Get-User "David Strome").Identity
Set-RoleGroup "Organization Management" -ManagedBy $RoleGroup.ManagedBy
有关语法和参数的详细信息,请参阅 Set-RoleGroup。
使用 Exchange 命令行管理程序从角色组中删除委托
若要更改角色组上的委托列表,请在 Set-RoleGroup cmdlet 上使用 ManagedBy 参数。 ManagedBy 参数覆盖角色组上的整个委托列表。 如果你想要将委派从角色组中删除而不是替换整个委派列表,请按以下步骤操作:
使用以下命令将角色组存储在一个变量中。
$RoleGroup = Get-RoleGroup <role group name>
使用以下命令将委派从存储在变量中的角色组中删除。
$RoleGroup.ManagedBy -= (Get-User <user to remove>).Identity
注意
如果要删除 USG,请使用 Get-Group cmdlet。
请对要删除的每个委派重复步骤 2。
使用以下命令将新的委派列表应用于实际的角色组。
Set-RoleGroup <role group name> -ManagedBy $RoleGroup.ManagedBy
本示例将作为 组织管理 角色组上委派的用户 David Strome 删除。
$RoleGroup = Get-RoleGroup "Organization Management"
$RoleGroup.ManagedBy -= (Get-User "David Strome").Identity
Set-RoleGroup "Organization Management" -ManagedBy $RoleGroup.ManagedBy
有关语法和参数的详细信息,请参阅 Set-RoleGroup。
如何知道操作成功?
若要验证是否已成功更改角色组上的委派列表,请执行以下操作:
在Exchange 命令行管理程序中,运行以下命令。
Get-RoleGroup <role group name> | Format-List ManagedBy
验证 ManagedBy 属性中列出的委托是否仅包括应该能够管理角色组的委托。