管理关联角色组

适用于：Exchange Server 2013

可以使用链接管理角色组使外部 Active Directory 林中通用安全组 (USG) 的成员能够管理资源 Active Directory 林中的 Microsoft Exchange Server 2013 组织。 通过将外部林中的 USG 与链接角色组相关联，该 USG 的成员将被授予分配给链接角色组的管理角色提供的权限。 有关链接角色组的详细信息，请参阅 了解管理角色组。

若要创建和配置链接角色组，需要使用 New-RoleGroup 和 Set-RoleGroup cmdlet。 有关语法和参数的详细信息，请参阅下列主题：

• New-RoleGroup

• Set-RoleGroup

有关角色组相关的其他管理任务，请参阅 权限。

开始前，有必要了解什么？

• 估计完成每个步骤的时间：5 到 10 分钟

• 您必须先获得权限，然后才能执行此过程或多个过程。 若要查看所需的权限，请参阅 角色管理权限主题中的"角色组"条目。

• 不能使用 Exchange 管理中心 (EAC) 创建或配置链接的角色组。 必须使用 Exchange 命令行管理程序。

• 配置链接角色组至少需要在链接角色组所在的资源 Active Directory 林与用户或 USG 所在的外部 Active Directory 林之间建立单向信任。 资源林必须信任外部林。

• 您必须具有关于外部 Active Directory 林的以下信息：

  • 凭据：必须具有可以访问外部 Active Directory 林的用户名和密码。 此信息与 New-RoleGroup 和 Set-RoleGroup cmdlet 上的 LinkedCredential 参数一起使用。

  • 域控制器：必须具有外部 Active Directory 林中 Active Directory 域控制器的完全限定域名 (FQDN) 。 此信息与 New-RoleGroup 和 Set-RoleGroup cmdlet 上的 LinkedDomainController 参数一起使用。

  • 外部 USG：必须具有外部 Active Directory 林中 USG 的全名，其中包含要与链接角色组关联的成员。 此信息与 New-RoleGroup 和 Set-RoleGroup cmdlet 上的 LinkedForeignGroup 参数一起使用。

• 若要了解本主题中的过程可能适用的键盘快捷键，请参阅 Exchange 管理中心内的键盘快捷键。

提示

是否有任何疑问？ 在 Exchange 论坛中寻求帮助。 访问 Exchange Server 的论坛。

创建链接的角色组

使用命令行管理程序创建没有作用域的链接角色组

若要创建链接角色组并为其分配管理角色，请执行以下操作：

1. 将外部 Active Directory 林的凭据存储在一个变量中。

   $ForeignCredential = Get-Credential
   

2. 使用下面的语法创建链接的角色组。

   New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -Roles <role1, role2, role3...>
   

3. 在外部 Active Directory 林中的计算机上使用 Active Directory 用户和计算机向外部 USG 添加成员或从中删除成员。

本示例执行以下操作：

• 检索 users.contoso.com 外部 Active Directory 林的凭据。 这些凭据用于连接到外部林中的 DC01.users.contoso.com 域控制器。

• 在安装了 Exchange 2013 的资源林中创建名为 Compliance Role Group 的链接角色组。

• 将新角色组链接到 users.contoso.com 外部 Active Directory 林中的 Compliance Administrators USG。

• 将传输规则和日记管理角色分配到新链接角色组。

$ForeignCredential = Get-Credential

New-RoleGroup "Compliance Role Group" -LinkedForeignGroup "Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles "Transport Rules", "Journaling"

使用命令行管理程序创建具有自定义管理作用域的链接角色组

可以使用自定义收件人管理范围和/或自定义配置管理范围创建链接角色组。 若要创建链接角色组并向其分配具有自定义作用域的管理角色，请执行以下操作：

1. 将外部 Active Directory 林的凭据存储在一个变量中。

   $ForeignCredential = Get-Credential
   

2. 使用下面的语法创建链接的角色组。

   New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -CustomConfigWriteScope <name of configuration scope> -CustomRecipientWriteScope <name of recipient scope> -LinkedCredential $ForeignCredential -Roles <role1, role2, role3...>
   

3. 在外部 Active Directory 林中的计算机上使用 Active Directory 用户和计算机向外部 USG 添加成员或从中删除成员。

本示例执行以下操作：

• 检索 users.contoso.com 外部 Active Directory 林的凭据。 这些凭据用于连接到外部林中的 DC01.users.contoso.com 域控制器。

• 在安装了 Exchange 2013 的资源林中创建名为 Seattle Compliance Role Group 的链接角色组。

• 将新角色组链接到 users.contoso.com 外部 Active Directory 林中的 Seattle Compliance Administrators USG。

• 将传输规则和日记管理角色分配到具有 Seattle Recipients 自定义收件人作用域的新链接角色组。

$ForeignCredential = Get-Credential

New-RoleGroup "Seattle Compliance Role Group" -LinkedForeignGroup "Seattle Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -CustomRecipientWriteScope "Seattle Recipients" -Roles "Transport Rules", "Journaling"

有关管理作用域的详细信息，请参阅了解管理角色作用域。

使用命令行管理程序创建具有 OU 作用域的链接角色组

可以创建使用 OU 收件人范围的链接角色组。 若要创建链接的角色组并使用 OU 范围向其分配管理角色，请执行以下操作：

1. 将外部 Active Directory 林的凭据存储在一个变量中。

   $ForeignCredential = Get-Credential
   

2. 使用下面的语法创建链接的角色组。

   New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -RecipientOrganizationalUnitScope <OU name> -Roles <role1, role2, role3...>
   

3. 在外部 Active Directory 林中的计算机上使用 Active Directory 用户和计算机向外部 USG 添加成员或从中删除成员。

本示例执行以下操作：

• 检索 users.contoso.com 外部 Active Directory 林的凭据。 这些凭据用于连接到外部林中的 DC01.users.contoso.com 域控制器。

• 在安装了 Exchange 2013 的资源林中创建名为 Executives Compliance Role Group 的链接角色组。

• 将新角色组链接到 users.contoso.com 外部 Active Directory 林中的 Executives Compliance Administrators USG。

• 将传输规则和日记管理角色分配到具有 OU 收件人作用域 Executives OU 的新链接角色组。

$ForeignCredential = Get-Credential

New-RoleGroup "Executives Compliance Role Group" -LinkedForeignGroup "Executives Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -RecipientOrganizationalUnitScope "Executives OU" -Roles "Transport Rules", "Journaling"

有关管理作用域的详细信息，请参阅了解管理角色作用域。

更改链接的角色组上的外部 USG

使用命令行管理程序更改链接角色组中的外部 USG

若要更改与链接角色组相关的外部 USG，请执行以下操作：

1. 将外部 Active Directory 林的凭据存储在一个变量中。

   $ForeignCredential = Get-Credential
   

2. 使用以下语法更改现有的链接的角色组上的外部 USG。

   Set-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential
   

本示例执行以下操作：

• 检索 users.contoso.com 外部 Active Directory 林的凭据。 这些凭据用于连接到外部林中的 DC01.users.contoso.com 域控制器。

• 将 Compliance Role Group 角色组上的外部 USG 更改为 Regulatory Compliance Officers。

$ForeignCredential = Get-Credential

Set-RoleGroup "Compliance Role Group" -LinkedForeignGroup "Regulatory Compliance Officers" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential