创建常规或独占作用域
适用于:Exchange Server 2013
管理角色作用域确定向用户提供哪些对象,以便可以使用 cmdlet 以及为其分配的参数更改这些对象。 通过添加管理作用域,您可以配置管理角色分配,以便用户可以管理组织中的特定服务器、数据库、收件人和其他对象,同时限制更改其他对象。
重要
创建常规或独占作用域时,将覆盖在分配的管理角色上定义的写入作用域。 不能覆盖在管理角色上配置的读取作用域。
可以创建自定义管理作用域以及添加或更改管理角色分配。 如果要使用预制的管理作用域或组织单位 (OU) 管理作用域创建管理角色分配,请参阅向用户或 USG 添加角色。
有关 Microsoft Exchange Server 2013 中管理角色作用域和分配的详细信息,请参阅下列主题:
要查找与作用域相关的其他管理任务吗? 请查看高级权限。
开始前,有必要了解什么?
估计完成每个步骤时间:5 分钟
您必须先获得权限,然后才能执行此过程或多个过程。 若要查看所需的权限,请参阅 角色管理权限主题中的"管理作用域"条目。
您必须使用命令行管理程序执行这些过程。
若要了解本主题中的过程可能适用的键盘快捷键,请参阅 Exchange 管理中心内的键盘快捷键。
提示
是否有任何疑问? 在 Exchange 论坛中寻求帮助。 访问 Exchange Server 的论坛。
步骤 1:创建自定义作用域
若要创建自定义作用域,请选择下列作用域类型之一:
收件人筛选器作用域
使用 New-ManagementScope cmdlet 上的 RecipientRestrictionFilter 参数创建基于收件人筛选器的范围。 创建收件人筛选器时,除了要筛选的收件人属性外,您还可以指定在其中运行筛选器查询的 OU。 指定基础 OU 时,可以进一步限制该角色的写入作用域。
有关管理作用域筛选器的详细信息,请参阅了解管理角色作用域筛选器。
使用以下语法创建具有基础 OU 的域限制筛选器作用域。
New-ManagementScope -Name <scope name> -RecipientRestrictionFilter <filter query> [-RecipientRoot <OU>]
此示例创建一个包含 contoso.com/Sales OU 中所有邮箱的作用域。
New-ManagementScope -Name "Mailboxes in Sales OU" -RecipientRestrictionFilter "RecipientType -eq 'UserMailbox'" -RecipientRoot "contoso.com/Sales OU"
注意
如果希望筛选器应用于管理角色的整个隐式读取范围,而不仅仅是在特定 OU 中,则可以省略 RecipientRoot 参数。
有关语法和参数的详细信息,请参阅 New-ManagementScope。
服务器筛选器配置作用域
基于服务器筛选器的配置范围是在 New-ManagementScope cmdlet 上使用 ServerRestrictionFilter 参数创建的。 使用服务器筛选器可以创建一个作用域,该作用域仅适用于与您指定的筛选器匹配的服务器。
有关管理作用域筛选器的详细信息和可筛选服务器属性的列表,请参阅了解管理角色作用域筛选器。
使用以下语法创建服务器筛选器作用域。
New-ManagementScope -Name <scope name> -ServerRestrictionFilter <filter query>
此示例创建了一个包括 'CN=Redmond,CN=Sites,CN=Configuration,DC=contoso,DC=com' AD (Active Directory) 站点中所有服务器的作用域。
New-ManagementScope -Name "Servers in Seattle AD site" -ServerRestrictionFilter "ServerSite -eq 'CN=Redmond,CN=Sites,CN=Configuration,DC=contoso,DC=com'"
有关语法和参数的详细信息,请参阅 New-ManagementScope。
服务器列表配置作用域
基于服务器列表的配置范围是在 New-ManagementScope cmdlet 上使用 ServerList 参数创建的。 使用服务器列表作用域可以创建一个作用域,该作用域仅适用于您在列表中指定的服务器。
使用以下语法创建服务器列表作用域。
New-ManagementScope -Name <scope name> -ServerList <server 1>, <server 2...>
此示例创建一个仅适用于 MBX1、MBX3 和 MBX5 的作用域。
New-ManagementScope -Name "Mailbox servers" -ServerList MBX1,MBX3,MBX5
有关语法和参数的详细信息,请参阅 New-ManagementScope。
数据库筛选器配置作用域
使用 New-ManagementScope cmdlet 上的 DatabaseRestrictionFilter 参数创建基于数据库筛选器的配置范围。 使用数据库筛选器可以创建一个作用域,该作用域仅适用于与您指定的筛选器匹配的数据库。
重要
与数据库作用域关联的角色分配仅应用于连接到运行 Microsoft Exchange Server 2010 Service Pack 1 (SP1) 或更高版本或者 Exchange 2013 的服务器的用户。 如果分配了与数据库作用域相关联的角色分配的用户连接到之前的 Exchange 2010 SP1 服务器,则角色分配不会应用于此用户,并且也不会向此用户授予角色分配提供的任何权限。
有关管理作用域筛选器的详细信息和可筛选数据库属性的列表,请参阅了解管理角色作用域筛选器。
使用以下语法创建数据库限制筛选器。
New-ManagementScope -Name <scope name> -DatabaseRestrictionFilter <filter query>
本示例将创建一个作用域,该作用域包括数据库的 Name 属性中含有字符串"Executive"的所有数据库。
New-ManagementScope -Name "Executive Databases" -DatabaseRestrictionFilter "Name -Like '*Executive*'"
有关语法和参数的详细信息,请参阅 New-ManagementScope。
数据库列表配置作用域
基于数据库列表的配置范围是在 New-ManagementScope cmdlet 上使用 DatabaseList 参数创建的。 使用数据库列表作用域可以创建一个作用域,该作用域仅适用于您在列表中指定的数据库。
重要
与数据库作用域关联的角色分配仅应用于连接到运行 Microsoft Exchange Server 2010 Service Pack 1 (SP1) 或更高版本或者 Exchange 2013 的服务器的用户。 如果分配了与数据库作用域相关联的角色分配的用户连接到之前的 Exchange 2010 SP1 服务器,则角色分配不会应用于此用户,并且也不会向此用户授予角色分配提供的任何权限。
使用以下语法创建数据库列表作用域。
New-ManagementScope -Name <scope name> -DatabaseList <database 1>, <database 2...>
本示例将创建仅适用于数据库 Database 1、Database 2 和 Database 3 的作用域。
New-ManagementScope -Name "Primary databases" -DatabaseList "Database 1", "Database 2", "Database 3"
有关语法和参数的详细信息,请参阅 New-ManagementScope。
独占范围
可将使用 New-ManagementScope cmdlet 创建的任何作用域指定为独占作用域。 若要创建独占范围,请使用上述某个部分中的相同命令来创建基于收件人筛选器的范围、基于服务器筛选器的范围、基于服务器列表的范围、基于数据库筛选器的范围或基于数据库列表的范围,然后将 独占 开关添加到 命令。
警告
在创建独占管理作用域时,仅分配有包含要修改对象的独占作用域的角色接受者才可以访问这些对象。 只有分配了具有独占作用域角色的管理员才可以访问这些独占或受保护的对象。
此示例创建基于收件人筛选器的独占作用域,该作用域与 Executives 部门中的任何用户匹配。
New-ManagementScope "Executive Users Exclusive Scope" -RecipientRestrictionFilter "Department -Eq 'Executives'" -Exclusive
默认情况下,创建独占作用域时,将要求您确认已创建独占作用域且了解独占作用域对现有非独占角色分配造成的影响。 如果要禁止显示警告,可以使用 Force 开关。 此示例创建一个与上一示例相同的作用域,但没有警告。
New-ManagementScope "Executive Users Exclusive Scope" -RecipientRestrictionFilter "Department -Eq 'Executives'" -Exclusive -Force
有关语法和参数的详细信息,请参阅 New-ManagementScope。
步骤 2:添加或更改管理角色分配
创建作用域后,必须将其添加到新建或现有的管理角色分配。
如果创建了一个管理作用域并要将其添加到即将创建的新管理角色分配,请参阅下列主题:
如果创建了一个管理角色作用域并要将其添加到现有的管理角色分配,请参阅下列主题: