了解管理角色作用域筛选器

项目
04/04/2023

适用于：Exchange Server 2013

管理角色作用域筛选器可用来定义可高度自定义的管理作用域。使用作用域筛选器可以创建与收件人、数据库和服务器分段方式相匹配的作用域，以便管理员能够仅管理他们有访问权限的那些对象。作用域筛选器几乎可以使用所有的收件人、数据库或服务器对象属性。

若要使用管理角色作用域筛选器，您必须熟悉管理角色作用域。有关管理角色作用域的详细信息，请参阅了解管理角色作用域。

通过使用 New-ManagementScope cmdlet 创建 Microsoft Exchange Server 2013 中的已筛选自定义作用域。收件人和配置这两种类型的已筛选作用域（由服务器和数据库作用域组成）可分为常规作用域和独占作用域。以下列表显示了 New-ManagementScope cmdlet 上用于创建每个类型的已筛选作用域的参数：

Recipient 常规筛选范围：若要创建这种类型的筛选范围，请使用 RecipientRestrictionFilter 参数。
收件人独占筛选范围：若要创建这种类型的筛选范围，请使用 RecipientRestrictionFilter 参数和独占开关。
基于服务器的配置常规筛选范围：若要创建这种类型的筛选范围，请使用 ServerRestrictionFilter 参数。
基于服务器的配置独占筛选范围：若要创建这种类型的筛选范围，请使用 ServerRestrictionFilter 参数和独占开关。
基于数据库的配置常规筛选范围：若要创建这种类型的筛选范围，请使用 DatabaseRestrictionFilter 参数。
基于数据库的配置独占筛选范围：若要创建这种类型的筛选范围，请使用 DatabaseRestrictionFilter 参数和独占开关。

当您创建已筛选自定义作用域时，该作用域尝试将筛选器与管理角色隐式读取作用域内的任何可访问对象相匹配。如果找到某个对象，筛选器返回的结果中会包含该对象，而且自定义作用域会使该对象对管理角色可用。筛选器无法返回管理角色隐式读取作用域范围之外的结果。

如果使用 RecipientRestrictionFilter 参数指定收件人筛选器，则可以使用 RecipientRoot 参数指定组织单位， (OU) 将筛选器限制为。在 RecipientRoot 参数中指定 OU 时，收件人筛选器会尝试匹配仅驻留在该 OU 中的收件人，而不是整个隐式读取范围中的收件人。

要使用本主题中包含的可筛选属性创建管理作用域，请参阅创建常规或独占作用域。

筛选器语法

收件人和配置筛选器使用相同语法来创建筛选器查询。所有筛选器查询都必须至少具有以下组件：

左括号：左大括号 ({) 指示筛选器查询的开始。
要检查的属性：属性是要测试的对象上的值。例如，该属性可以是收件人对象的城市或部门，服务器配置对象的 Active Directory 站点名称或服务器名称，或者是数据库配置对象的数据库名称。
比较运算符：比较运算符指示查询应如何根据存储在属性中的值来计算指定的值。例如，比较运算符可以是 Eq（表示等于）、 Ne（表示不等于）、 Like（表示近似于）等。有关可在 Exchange 命令行管理程序中使用的运算符的完整列表，请参阅比较运算符。
要比较的值：在筛选器查询中指定的值将与指定的属性中存储的值进行比较。指定的值必须括在引号 (") 中。如果要指定部分字符串，可以将提供的字符串括在通配符 (*) ，并使用支持通配符的比较运算符，例如 Like。任何包含部分字符串的字符串都将与筛选器查询匹配。
右括号：右大括号 (}) 指示筛选器查询的末尾。

下列组件是可选组件，可用于创建更复杂的筛选器查询：

括号：与数学、括号 ( ) 一样，在筛选器查询中，可以强制执行操作的顺序。首先计算最里面的圆括号，然后筛选器查询逐个向外操作，直到最外面的圆括号。
逻辑运算符：逻辑运算符将一个或多个比较操作捆绑在一起，并要求筛选器查询评估整个语句。例如，逻辑运算符包括 And、 Or 和 Not。

组合在一起时，简单查询类似于 { City -Eq "Vancouver" }。该筛选器将匹配属性 City 中的值等于字符串"Vancouver"的任何收件人。

另一个更复杂的查询是 {((City -Eq "Vancouver") -And (Department -Eq "Sales")) -Or (Title -Like "*Manager*")}。筛选器查询的计算顺序如下：

对属性 City 和 Department 进行计算。每个都设置为 True 或 False，具体取决于存储在每个属性中的值。
然后计算 City 和 Department 语句的结果。如果两者均为 True，则整个 And 语句变为 True。如果其中一个或两者都是 False，则整个 And 语句变为 False。下列情况适用：
- 如果 And 语句的计算结果为 True，则整个筛选器查询变为 True ，因为 Or 运算符指示查询的一端或另一端必须是 True。该对象将进行角色分配。
- 如果 And 语句为 False，则筛选器查询继续打开以计算 Title 属性。
然后计算 Title 属性。它设置为 True 或 False，具体取决于 存储在 Title 属性中的值。下列情况适用：
- 如果 Title 属性的计算结果为 True，则整个筛选器查询变为 True ，因为 Or 运算符指示查询的一端或另一端必须是 True。该对象将进行角色分配。
- 如果 Title 属性的计算结果为 False，则整个筛选器查询的计算结果为 False，并且对象不会向角色分配公开。

下表显示了一个包含值的示例，该值指示何时将复杂查询计算为 True，何时计算结果为 False。

复杂查询

市/县	部门	标题	结果
Vancouver (True)	Sales (True)	CEO (False)	因为 City 和 Department 的计算结果都为 True，所以结果为 True。未计算 Title ，因为已满足筛选器查询条件。
Seattle (False)	Sales (True)	IT Manager (True)	因为 Title 的计算结果为 True，所以结果为 True。 City 和 Department 的比较结果将被丢弃，因为 Title 的计算结果为 True，已满足筛选器查询条件。注意：IT 管理器与筛选器查询匹配，因为使用了 Like 比较运算符，该运算符在筛选器查询中使用通配符 (*) 时匹配部分字符串。
Vancouver (True)	Marketing (False)	Writer (False)	因为 City 和 Department 的计算结果并非都为 True，而且 Title 的计算结果也不为 True，所以结果为 False。

可筛选的收件人属性

创建收件人筛选器时，您几乎可以使用收件人对象的任何属性。有关可筛选收件人属性的列表，请参阅 -RecipientFilter 参数的可筛选属性。尽管本主题讨论可与其他 cmdlet 上的 RecipientFilter 参数一起使用的属性，但大多数这些属性也适用于 New-ManagementScope cmdlet 上的 RecipientRestrictionFilter 参数。

可筛选的服务器属性

使用 ServerRestrictionFilter 参数创建管理范围时，可以使用以下服务器属性：

CurrentServerRole
CustomerFeedbackEnabled
DataPath
DistinguishedName
ExchangeLegacyDN
ExchangeLegacyServerRole
ExchangeVersion
Fqdn
Guid
InternetWebProxy
Name
NetworkAddress
ObjectCategory
ObjectClass
ProductID
ServerRole
ServerSite
WhenChanged
WhenChangedUTC
WhenCreated
WhenCreatedUTC

可筛选的数据库属性

使用 DatabaseRestrictionFilter 参数创建管理范围时，可以使用以下数据库属性：

AdminDisplayName
AllowFileRestore
BackgroundDatabaseMaintenance
CircularLoggingEnabled
DatabaseCreated
DeletedItemRetention
Description
DistinguishedName
EdbFilePath
EventHistoryRetentionPeriod
ExchangeLegacyDN
ExchangeVersion
Guid
IssueWarningQuota
LogFilePrefix
LogFileSize
LogFolderPath
MasterServerOrAvailabilityGroup
MountAtStartup
Name
ObjectCategory
ObjectClass
RetainDeletedItemsUntilBackup
Server
WhenChanged
WhenChangedUTC
WhenCreated
WhenCreatedUTC

通过