管理角色组
适用于: Exchange Server 2013
本主题显示如何添加、删除、复制和查看 Microsoft Exchange Server 2013 中的管理角色组。 它还显示如何添加、删除和列出角色组上的管理角色,以及如何更改角色组上的管理作用域和委派。 有关 Exchange 2013 中角色组的详细信息,请参阅了解管理角色组。
有关角色组相关的其他管理任务,请参阅 权限。
开始前,有必要了解什么?
估计完成每个步骤的时间:5 到 10 分钟
您必须先获得权限,然后才能执行此过程或多个过程。 若要查看所需的权限,请参阅 角色管理权限主题中的"角色组"条目。
若要了解本主题中的过程可能适用的键盘快捷键,请参阅 Exchange 管理中心内的键盘快捷键。
提示
是否有任何疑问? 在 Exchange 论坛中寻求帮助。 访问 Exchange Server 上的论坛。
创建角色组
如果要自定义可以分配给用户组的权限,请新建一个自定义管理角色组。
使用 EAC 创建角色组
在 Exchange 管理中心 (EAC) 中,导航到“权限>管理员角色”,然后单击“。
在 “新建角色组 ”窗口中,提供新角色组的名称。
您可以现在选择要分配给角色组的角色以及要添加到角色组的成员,也可以另选时间执行此操作。
选择要应用于新角色组的写入作用域。
单击“保存”创建角色组。
使用命令行管理程序创建角色组
To create a role group, see the Examples section in New-RoleGroup.
你怎么知道这是奏效的?
若要验证是否已成功创建了角色组,请执行以下操作:
在 EAC 中,导航到 “权限>管理员角色”。
验证新的角色组是否显示在角色组列表中,然后选择它。
验证在新角色组上指定的成员、分配的角色和作用域是否在角色组详细信息窗格中列出。
复制角色组
使用 EAC 复制角色组
如果您拥有的角色组包含您希望授予用户的权限,但您希望在无须手动添加所有其他角色的情况下应用其他管理作用域,或删除或添加一个或两个管理角色,则您可以复制现有角色组。
重要
如果已经使用 Exchange 命令行管理程序在角色组上配置多个管理角色作用域或独占作用域,则无法使用 EAC 复制角色组。 如果已经在角色组上配置多个作用域或独占作用域,则必须使用本主题中后面的命令行管理程序复制角色组。 有关管理角色作用域的详细信息,请参阅了解管理角色作用域。
在 EAC 中,导航到 “权限>管理员角色”。
选择要复制的角色组,然后单击“ 复制。
在 “新建角色组 ”窗口中,提供新角色组的名称。
审查已复制到新角色组的角色。 根据需要添加或删除角色。
审查写入作用域,并根据需要更改。
审查已复制到新角色组的成员。 根据需要添加或删除成员。
单击“保存”创建角色组。
使用命令行管理程序复制无作用域的角色组
请使用以下语法将想要复制的角色组存储在变量中。
$RoleGroup = Get-RoleGroup <name of role group to copy>
请使用以下语法创建新角色组,并将成员添加到该角色组,然后指定可以将该角色组委派给其他用户的用户。
New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -Members <member1, member2, member3...> -ManagedBy <user1, user2, user3...>
例如,使用以下命令复制"Organization Management"角色组并将新角色组命名为"Limited Organization Management"。 将添加成员 Isabelle、Carter 和 Lukas,并可由 Jenny 和 Katie 进行委派。
$RoleGroup = Get-RoleGroup "Organization Management"
New-RoleGroup "Limited Organization Management" -Roles $RoleGroup.Roles -Members Isabelle, Carter, Lukas -ManagedBy Jenny, Katie
创建新角色组后,可以添加或删除角色、更改角色的角色分配范围以及执行其他操作。
有关语法和参数的详细信息,请参阅 Get-RoleGroup 和 New-RoleGroup。
使用命令行管理程序复制有自定义作用域的角色组
请使用以下语法将想要复制的角色组存储在变量中。
$RoleGroup = Get-RoleGroup <name of role group to copy>
请使用以下语法创建有自定义作用域的新角色组。
New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuraiton scope name>
例如,使用以下命令复制"Organization Management"角色组并创建名为"Vancouver Organization Management"的新角色组,该角色组具有"Vancouver Users"收件人作用域和"Vancouver Servers configuration"配置作用域。
$RoleGroup = Get-RoleGroup "Organization Management"
New-RoleGroup "Vancouver Organization Management" -Roles $RoleGroup.Roles -CustomRecipientWriteScope "Vancouver Users" -CustomConfigWriteScope "Vancouver Servers"
在创建角色组时,还可以使用 Members 参数将成员添加到角色组,如本主题前面的使用 Shell 复制没有作用域的角色组中所示。 有关管理作用域的详细信息,请参阅 了解管理角色作用域。
创建新角色组后,可以添加或删除角色、更改角色的角色分配范围以及执行其他任务。
有关语法和参数的详细信息,请参阅 Get-RoleGroup 和 New-RoleGroup。
使用命令行管理程序复制有 OU 作用域的角色组
请使用以下语法将想要复制的角色组存储在变量中。
$RoleGroup = Get-RoleGroup <name of role group to copy>
请使用以下语法创建有自定义作用域的新角色组。
New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -RecipientOrganizationalUnitScope <OU name>
例如,使用以下命令复制"Recipient Management"角色组并创建名为"Toronto Recipient Management"的新角色组,该角色组允许在"Toronto Users"OU 中仅管理用户。
$RoleGroup = Get-RoleGroup "Recipient Management"
New-RoleGroup "Toronto Recipient Management" -Roles $RoleGroup.Roles -RecipientOrganizationalUnitScope "contoso.com/Toronto Users"
在创建角色组时,还可以使用 Members 参数将成员添加到角色组,如本主题前面的使用 Shell 复制没有作用域的角色组中所示。 有关管理作用域的详细信息,请参阅 了解管理角色作用域。
创建新角色组后,可以添加或删除角色、更改角色的角色分配范围以及执行其他操作。
有关语法和参数的详细信息,请参阅 Get-RoleGroup 和 New-RoleGroup。
你怎么知道这是奏效的?
若要验证是否已成功复制了角色组,请执行以下操作:
在 EAC 中,导航到 “权限>管理员角色”。
验证已复制的角色组是否显示在角色组列表中,然后选择它。
验证在已复制的角色组上指定的成员、分配的角色和作用域是否在角色组详细信息窗格中列出。
删除角色组
如果不再需要所创建的角色组,则可以将其删除。 删除角色组时,也将删除角色组和管理角色之间的管理角色分配。 管理角色不会被删除。 如果用户依赖于此角色组来访问某个功能,则该用户将不再拥有访问此功能的权限。 无法删除内置角色组。
使用 EAC 删除角色组
在 EAC 中,导航到 “权限>管理员角色”。
选择要删除的角色组,然后单击“删除删除”。
验证是否要删除所选角色组,如果是,请响应 “是 ”警告。
使用命令行管理程序删除角色组
To remove a role group, see the Examples section in Remove-RoleGroup.
查看角色组
您可以查看角色组的列表,也可以查看有关组织中存在的特定角色组的详细信息。
使用 EAC 查看角色组列表和角色组详细信息
在 EAC 中,导航到 “权限>管理员角色”。 这里列出了你组织中的所有角色组。
选择一个角色组,以查看角色组上配置的成员、分配的角色和作用域。
使用命令行管理程序查看角色组列表和角色组详细信息
To view a list of role groups, see the Examples section in Get-RoleGroup.
向角色组添加角色
将管理角色添加到角色组是向一组管理员或专家用户授予权限的最好且最简单的方式。 如果要使作为角色组成员的用户能够管理某个功能,需要将管理该功能的管理角色添加到角色组。 在添加角色之后,即会向角色组成员授予该角色所提供的权限。
使用 EAC 将管理角色添加到角色组
重要
如果已经使用命令行管理程序在角色组上配置多个管理角色作用域或独占作用域,则无法使用 EAC 向角色组中添加角色。 如果已在角色组上配置多个作用域或独占作用域,则必须使用本主题后面的命令行管理程序步骤将角色添加到角色组。 有关管理角色作用域的详细信息,请参阅了解管理角色作用域。
在 EAC 中,导航到 “权限>管理员角色”。
选择要向其添加角色的角色组,然后单击“ 编辑。
在 “角色 ”部分中,选择要添加到角色组的角色。
将角色添加到角色组后,单击“ 保存”。
使用命令行管理程序创建无作用域的角色分配
可以在角色和角色组之间创建无作用域的角色分配。 这样做时,角色的隐式读取和隐式写入作用域都适用。
使用以下语法可将没有任何作用域的角色分配给角色组。 如果不指定角色分配名称,则会自动创建一个角色分配名称。
New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name>
此示例将 Transport Rules 管理角色分配给 Seattle Compliance 角色组。
New-ManagementRoleAssignment -SecurityGroup "Seattle Compliance" -Role "Transport Rules"
有关语法和参数的详细信息,请参阅 New-ManagementRoleAssignment。
使用命令行管理程序创建具有预定义作用域的角色分配
如果预定义作用域满足你的业务要求,则可以将该作用域应用于角色分配,而不是新建一个角色分配。 有关预定义作用域及其说明的列表,请参阅了解管理角色作用域。
有关角色分配的详细信息,请参阅了解管理角色分配。
使用以下语法可将角色分配给具有预定义作用域的角色组。 如果不指定角色分配名称,则会自动创建一个角色分配名称。
New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -RecipientRelativeWriteScope < MyGAL | MyDistributionGroups | Organization | Self >
此示例将 Message Tracking 角色分配给 Enterprise Support 角色组,并应用 Organization 预定义作用域。
New-ManagementRoleAssignment -SecurityGroup "Enterprise Support" -Role "Message Tracking" -RecipientRelativeWriteScope Organization
有关语法和参数的详细信息,请参阅 New-ManagementRoleAssignment。
使用命令行管理程序创建具有基于收件人筛选器的作用域的角色分配
如果创建了基于收件人筛选器的范围,则需要在使用 CustomRecipientWriteScope 参数将角色分配给角色组的命令中包含范围。
创建具有收件人写入作用域的角色分配时,也可以包含配置写入作用域。
有关角色分配和作用域的详细信息,请参阅下列主题:
使用以下语法可将角色分配给具有基于收件人筛选器的作用域的角色组。 如果不指定角色分配名称,则会自动创建一个角色分配名称。
New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -CustomRecipientWriteScope <role scope name>
此示例将 Message Tracking 角色分配给 Seattle Recipient Admins 角色组,并应用 Seattle Recipients 作用域。
New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Message Tracking" -CustomRecipientWriteScope "Seattle Recipients"
有关语法和参数的详细信息,请参阅 New-ManagementRoleAssignment。
使用命令行管理程序创建具有配置作用域的角色分配
如果创建了服务器或数据库配置筛选器或基于列表的范围,则需要在使用 CustomConfigWriteScope 参数将角色分配给角色组的命令中包含范围。
创建具有配置写入作用域的角色分配时,也可以包含收件人写入作用域。
有关角色分配和管理作用域的详细信息,请参阅下列主题:
使用以下语法可将角色分配到具有配置作用域的角色组。 如果不指定角色分配名称,则会自动创建一个角色分配名称。
New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -CustomConfigWriteScope <role scope name>
此示例将 Databases 角色分配给 Seattle Server Admins 角色组,并应用 Seattle Servers 作用域。
New-ManagementRoleAssignment -SecurityGroup "Seattle Server Admins" -Role "Databases" -CustomConfigWriteScope "Seattle Servers"
有关语法和参数的详细信息,请参阅 New-ManagementRoleAssignment。
使用命令行管理程序创建具有 OU 作用域的角色分配
如果要将角色的写入范围限定为 OU,可以直接在 RecipientOrganizationalUnitScope 参数中指定 OU。
配置写入作用域:确定角色组成员允许在 exADNoMk 中修改的组织对象和服务器对象。
使用以下命令可将角色分配给角色组,并将角色的写入作用域限制为特定的 OU。 如果不指定角色分配名称,则会自动创建一个角色分配名称。
New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -RecipientOrganizationalUnitScope <OU>
此示例将 Mail Recipients 角色分配给 Seattle Recipient Admins 角色组,并将该分配的作用域限定为 Contoso.com 域中的 Sales\Users OU。
New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users
有关语法和参数的详细信息,请参阅 New-ManagementRoleAssignment。
你怎么知道这是奏效的?
若要验证是否已成功将角色添加到角色组,请执行以下操作:
在 EAC 中,导航到 “权限>管理员角色”。
选择要将角色添加到的角色组。 在角色组详细信息窗格中,验证添加的角色是否列出。
从角色组中删除角色
从管理角色组中删除角色是吊销授予给一组管理员或专家用户的权限的最佳且最简单的方式。 如果你不希望管理员或专家用户拥有管理某一功能的权限,则将管理角色从管理这些权限的管理角色组中删除。 删除角色后,角色组的成员将不再拥有管理该功能的权限。
注意
一些角色组(例如 组织管理 角色组)会限制可以从角色组中删除哪些角色。 有关详细信息,请参阅了解管理角色组。
如果管理员为另一个角色组(该角色组包含授予权限以管理功能的管理角色)的成员,您需要从其他角色组中删除此管理员,或从其他角色组中删除授予管理功能权限的角色。
使用 EAC 从角色组中删除管理角色
重要
如果已经使用命令行管理程序在角色组上配置多个作用域或独占作用域,则无法使用 EAC 从角色组中删除角色。 如果你已经在角色组上配置多个作用域或独占作用域,你必须使用本主题中稍后介绍的命令行管理程序步骤将角色从角色组中删除。 有关管理角色作用域的详细信息,请参阅了解管理角色作用域。
在 EAC 中,导航到 “权限>管理员角色”。
选择要从中删除角色的角色组,然后单击 “编辑。
在 “角色 ”部分中,选择要从角色组中删除的角色。
从角色组中删除角色后,单击“ 保存”。
使用命令行管理程序从角色组中删除角色
可以通过使用 Get-ManagementRoleAssignment cmdlet 检索关联的管理角色分配,然后管道将返回到 Remove-ManagementRoleAssignment cmdlet 的角色分配从角色组中删除角色。 除非你希望同时删除委派角色分配和常规角色分配,否则请指定 “委派 ”参数以指定是删除常规角色分配还是要委派角色分配。
有关常规角色分配和委派角色分配的详细信息,请参阅了解管理角色分配。
此过程使用管道进行传输。 有关管道的详细信息,请参阅 about_Pipelines。
若要从角色组删除角色,请使用下列语法。
Get-ManagementRoleAssignment -RoleAssignee <role group name> -Role <role name> -Delegating <$true | $false> | Remove-ManagementRoleAssignment
本示例将通讯组角色(该角色使管理员能够管理通讯组)从 Seattle Recipient Administrators 角色组中删除。 由于我们想要删除提供管理通讯组权限的角色分配,因此 ,Delegating 参数设置为 $False
,它仅返回常规角色分配。
Get-ManagementRoleAssignment -RoleAssignee "Seattle Recipient Administrators" -Role "Distribution Groups" -Delegating $false | Remove-ManagementRoleAssignment
有关语法和参数的详细信息,请参阅 Remove-ManagementRoleAssignment。
你怎么知道这是奏效的?
若要验证是否已成功从角色组中删除角色,请执行以下操作:
在 EAC 中,导航到 “权限>管理员角色”。
选择从中删除了角色的角色组。 在角色组详细信息窗格中,验证删除的角色是否不再列出。
更改角色组的作用域
角色组和角色之间的管理角色分配包含管理作用域,管理作用域确定该角色组成员可用的对象。 通过更改角色组上的写入作用域,可以更改角色组成员可创建、更改或删除的对象。 不能更改角色组上的读取作用域。
Exchange 2013 包括在未创建自定义作用域时,默认应用于角色分配的作用域。 如果你要对角色组上的角色分配使用自定义作用域,则必须首先创建一个自定义作用域。 有关创建自定义作用域(这是高级任务)的详细信息,请参阅创建常规或独占作用域。
有关 Exchange 2013 中管理角色作用域和分配的详细信息,请参阅下列主题:
使用 EAC 更改角色组上的作用域
在使用 EAC 更改某个角色组上的作用域时,你实际更改的是该角色组与分配给该角色组的每个管理角色之间所有角色分配上的作用域。 如果你要更改特定角色分配上的作用域,则必须使用本主题后面的命令行管理程序步骤。
重要
对于角色与角色组之间的角色分配,如果你使用命令行管理程序在这些角色分配上配置了多个作用域或独占作用域,则不能使用 EAC 管理这些角色分配上的作用域。 如果你在这些角色分配上配置了多个作用域或独占作用域,则必须使用本主题后面的命令行管理程序步骤管理这些作用域。 有关管理角色作用域的详细信息,请参阅了解管理角色作用域。
在 EAC 中,导航到 “权限>管理员角色”。
选择要更改其范围的角色组,然后单击 “编辑。
从以下两个“写入作用域”选项中选择一个:
下拉框中的写入作用域,您可从中选择默认的写入作用域或自定义的写入作用域。
组织单位:如果想要将此角色组的范围限定为 OU,请选择此选项并提供组织单位 (OU) 。
单击“保存”将更改保存到角色组。
使用命令行管理程序同时更改角色组上所有角色分配的作用域
角色组与分配给它的角色之间的角色分配可以使用从角色本身获取的隐式作用域、相同的自定义作用域或不同的自定义作用域。 有关角色分配的详细信息,请参阅了解管理角色分配。
角色分配的范围使用 Set-ManagementRoleAssignment cmdlet 进行管理。 无法使用 Set-RoleGroup cmdlet 管理范围。
若要同时更改角色组与管理角色组之间所有角色分配的作用域,需要首先检索该角色组上的角色分配,然后在每个分配上设置新作用域。 为此,可以使用 Get-ManagementRoleAssignment cmdlet 检索角色分配,然后通过管道将其传递给 Set-ManagementRoleAssignment cmdlet。
此过程使用管道和 WhatIf 开关的概念。 有关详细信息,请参阅下列主题:
若要同时设置角色组的所有角色分配的作用域,请使用以下语法。
Get-ManagementRoleAssignment -RoleAssignee <name of role group> | Set-ManagementRoleAssignment -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name> -RecipientRelativeScopeWriteScope < MyDistributionGroups | Organization | Self> -ExclusiveRecipientWriteScope <exclusive recipient scope name> -ExclusiveConfigWriteScope <exclusive configuration scope name> -RecipientOrganizationalUnitScope <organizational unit>
仅使用配置要使用的作用域时所需的参数。 例如,如果要将 Sales Recipient Management 角色组上的所有角色分配的收件人作用域更改为 Direct Sales Employees,请使用以下命令。
Get-ManagementRoleAssignment -RoleAssignee "Sales Recipient Management" | Set-ManagementRoleAssignment -CustomRecipientWriteScope "Direct Sales Employees"
注意
可以使用 WhatIf 开关验证是否仅更改了要更改的角色分配。 使用 WhatIf 开关运行上述命令以验证结果,然后删除 WhatIf 开关以应用更改。
有关更改管理角色分配的详细信息,请参阅更改角色分配。
有关语法和参数的详细信息,请参阅 Get-ManagementRoleAssignment。
使用命令行管理程序更改角色组上单个角色分配的作用域
角色组与分配给它的角色之间的角色分配可以使用从角色本身获取的隐式作用域、相同的自定义作用域或不同的自定义作用域。 有关角色分配的详细信息,请参阅了解管理角色分配。
角色分配的范围使用 Set-ManagementRoleAssignment cmdlet 进行管理。 无法使用 Set-RoleGroup cmdlet 管理范围。
此过程使用管道和 Format-List cmdlet 的概念。 有关详细信息,请参阅下列主题:
若要更改角色组与管理角色之间的角色分配上的作用域,首先要找到该角色分配的名称,然后在该角色分配上设置作用域。
若要查找角色组上所有角色分配的名称,请使用以下命令。 通过将管理角色分配管道到 Format-List cmdlet,可以查看分配的完整名称。
Get-ManagementRoleAssignment -RoleAssignee <role group name> | Format-List Name
查找要更改的角色分配的名称。 请在下一步中使用该角色分配的名称。
若要在单个分配上设置作用域,请使用以下语法。
Set-ManagementRoleAssignment <role assignment name> -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name> -RecipientRelativeScopeWriteScope < MyDistributionGroups | Organization | Self> -ExclusiveRecipientWriteScope <exclusive recipient scope name> -ExclusiveConfigWriteScope <exclusive configuration scope name> -RecipientOrganizationalUnitScope <organizational unit>
仅使用配置要使用的作用域时所需的参数。 例如,如果要将 Mail Recipients_Sales Recipient Management 角色分配的收件人作用域更改为 All Sales Employees,请使用以下命令。
Set-ManagementRoleAssignment "Mail Recipients_Sales Recipient Management" -CustomRecipientWriteScope "All Sales Employees"
有关更改管理角色分配的详细信息,请参阅更改角色分配。
有关语法和参数的详细信息,请参阅 Set-ManagementRoleAssignment。
你怎么知道这是奏效的?
若要验证是否已成功更改角色组上角色分配的作用域,请执行以下操作:
如果已使用 EAC 配置角色组上的作用域,则执行以下操作:
在 EAC 中,导航到 “权限>管理员角色”。 这里列出了组织中的所有角色组。
选择某个角色组,以查看该角色组上配置的作用域。
如果已使用命令行管理程序配置角色组上的作用域,则执行以下操作:
在命令行管理程序中运行以下命令。
Get-ManagementRoleAssignment -RoleAssignee <role group name> | Format-Table *WriteScope
验证角色分配上的写入作用域是否已更改为您指定的作用域。
添加或删除角色组委派
角色组委派是指可以向角色组中添加或从中删除成员或更改角色组属性的用户或通用安全组 (USG)。 通过添加或删除角色组委派,可以控制允许哪个用户管理角色组。
重要
向角色组添加委派之后,该角色组将只能由该角色组上的委派进行管理,或由直接或间接获得 Role Management 管理角色的用户进行管理。
如果用户已直接或间接获得 Role Management 角色,但尚未添加为该角色组的委派,则该用户必须使用 Add-RoleGroupMember、Remove-RoleGroupMember、Update-RoleGroupMember 和 Set-RoleGroup cmdlet 上的 BypassSecurityGroupManagerCheck 开关来管理角色组。
注意
不能使用 EAC 将委派添加到角色组。
使用命令行管理程序将委派添加到角色组
若要更改角色组上的委托列表,请在 Set-RoleGroup cmdlet 上使用 ManagedBy 参数。 ManagedBy 参数覆盖角色组上的整个委托列表。 如果你想要将委派添加到角色组而不是替换整个委派列表,请按以下步骤操作:
使用以下命令将角色组存储在一个变量中。
$RoleGroup = Get-RoleGroup <role group name>
使用以下命令将委派添加到存储在变量中的角色组。
$RoleGroup.ManagedBy += (Get-User <user to add>).Identity
注意
如果要添加 USG,请使用 Get-Group cmdlet。
请对要添加的每个委派重复步骤 2。
使用以下命令将新的委派列表应用于实际的角色组。
Set-RoleGroup <role group name> -ManagedBy $RoleGroup.ManagedBy
本示例将用户 David Strome 添加为 组织管理 角色组上的一个委派。
$RoleGroup = Get-RoleGroup "Organization Management"
$RoleGroup.ManagedBy += (Get-User "David Strome").Identity
Set-RoleGroup "Organization Management" -ManagedBy $RoleGroup.ManagedBy
有关语法和参数的详细信息,请参阅 Set-RoleGroup。
使用命令行管理程序将委派从角色组中删除
若要更改角色组上的委托列表,请在 Set-RoleGroup cmdlet 上使用 ManagedBy 参数。 ManagedBy 参数覆盖角色组上的整个委托列表。 如果你想要将委派从角色组中删除而不是替换整个委派列表,请按以下步骤操作:
使用以下命令将角色组存储在一个变量中。
$RoleGroup = Get-RoleGroup <role group name>
使用以下命令将委派从存储在变量中的角色组中删除。
$RoleGroup.ManagedBy -= (Get-User <user to remove>).Identity
注意
如果要删除 USG,请使用 Get-Group cmdlet。
请对要删除的每个委派重复步骤 2。
使用以下命令将新的委派列表应用于实际的角色组。
Set-RoleGroup <role group name> -ManagedBy $RoleGroup.ManagedBy
本示例将作为 组织管理 角色组上委派的用户 David Strome 删除。
$RoleGroup = Get-RoleGroup "Organization Management"
$RoleGroup.ManagedBy -= (Get-User "David Strome").Identity
Set-RoleGroup "Organization Management" -ManagedBy $RoleGroup.ManagedBy
有关语法和参数的详细信息,请参阅 Set-RoleGroup。
你怎么知道这是奏效的?
若要验证是否已成功更改角色组上的委派列表,请执行以下操作:
在此命令行管理程序中,运行以下命令。
Get-RoleGroup <role group name> | Format-List ManagedBy
验证 ManagedBy 属性中列出的委托是否仅包括应该能够管理角色组的委托。