创建常规或独占作用域

**适用于：**Exchange Server 2010

**上一次修改主题：**2009-10-19

管理角色作用域确定向用户提供哪些对象，以便可以使用 cmdlet 及向其分配的参数更改这些对象。通过添加管理作用域，您可以配置管理角色分配，以便用户可以管理组织中的特定服务器、收件人和其他对象，同时限制更改其他对象。

重要

创建常规或独占作用域时，将覆盖在分配的管理角色上定义的写入作用域。不能覆盖在管理角色上配置的读取作用域。

此过程说明如何创建自定义管理作用域。如果要使用预制的管理作用域或组织单位 (OU) 管理作用域创建管理角色分配，请参阅向用户或 USG 添加角色。

备注

不能使用 EMC 创建自定义作用域或者添加或更改管理角色分配。

有关 Microsoft Exchange Server 2010 中管理角色作用域和分配的详细信息，请参阅下列主题：

• 了解管理角色作用域
• 了解管理角色分配

要查找与作用域相关的其他管理任务吗？请查看管理高级权限。

步骤 1：创建自定义作用域

需要首先分配权限，然后才能执行此过程。若要查看所需的权限，请参阅角色管理权限主题中的“管理角色”条目。

若要创建自定义作用域，请选择下列作用域类型之一：

• 创建收件人筛选器作用域
• 创建服务器筛选器配置作用域
• 创建服务器列表配置作用域
• 创建独占作用域

创建收件人筛选器作用域

使用 New-ManagementScope cmdlet 的 RecipientRestrictionFilter 参数创建基于收件人筛选器的作用域。创建收件人筛选器时，除了要筛选的收件人属性外，您还可以指定在其中运行筛选器查询的 OU。指定基础 OU 时，可以进一步限制该角色的写入作用域。

有关管理作用域筛选器的详细信息，请参阅了解管理角色作用域筛选。

使用以下语法创建具有基础 OU 的域限制筛选器作用域。

New-ManagementScope -Name <scope name> -RecipientRestrictionFilter <filter query> [-RecipientRoot <OU>]

此示例创建一个包含 contoso.com/Sales OU 中所有邮箱的作用域。

New-ManagementScope -Name "Mailboxes in Sales OU" -RecipientRestrictionFilter { RecipientType -eq 'UserMailbox' } -RecipientRoot "contoso.com/Sales OU"

备注

如果希望将筛选器应用到管理角色的整个隐式读取作用域而不只是特定 OU 内的读取作用域，则可以省略 RecipientRoot 参数。

创建服务器筛选器配置作用域

使用 New-ManagementScope cmdlet 上的 ServerRestrictionFilter 参数创建基于服务器筛选器的配置作用域。使用服务器筛选器可以创建一个作用域，该作用域仅适用于与您指定的筛选器匹配的服务器。

有关管理作用域筛选器的详细信息，请参阅了解管理角色作用域筛选。

使用以下语法创建服务器限制筛选器。

New-ManagementScope -Name <scope name> -ServerRestrictionFilter <filter query>

此示例创建一个包含 Seattle AD (Active Directory) 站点内的所有服务器的作用域。

New-ManagementRole -Name "Servers in Seattle AD site" -ServerRestrictionFilter { ServerSite -eq 'Seattle' }

创建服务器列表配置作用域

使用 New-ManagementScope cmdlet 的 ServerList 参数创建基于服务器列表的配置作用域。使用服务器列表作用域可以创建一个作用域，该作用域仅适用于您在列表中指定的服务器。

使用以下语法创建服务器列表作用域。

New-ManagementScope -Name <scope name> -ServerList <server 1>, <server 2...>

此示例创建一个仅适用于 MBX1、MBX3 和 MBX5 的作用域。

New-ManagementScope -Name "Mailbox servers" -ServerList MBX1,MBX3,MBX5

创建独占作用域

可将使用 New-ManagementScope cmdlet 创建的任何作用域指定为独占作用域。若要创建独占作用域，请在 创建收件人筛选器作用域、创建服务器筛选器配置作用域 或 创建服务器列表配置作用域 各节中使用相同命令分别创建基于收件人筛选器的作用域、基于服务器筛选器的作用域或基于服务器列表的作用域，然后向该命令中添加 Exclusive 开关。

警告

在创建独占管理作用域时，仅分配有包含要修改对象的独占作用域的角色受理人才可以访问这些对象。只有分配了具有独占作用域角色的管理员才可以访问这些独占或受保护的对象。

此示例创建基于收件人筛选器的独占作用域，该作用域与 Executives 部门中的任何用户匹配。

New-ManagementScope "Executive Users Exclusive Scope" -RecipientRestrictionFilter { Department -Eq "Executives" } -Exclusive

创建独占作用域时，默认情况下，将要求您确认已创建独占作用域且了解独占作用域对现有非独占角色分配造成的影响。如果您希望取消此警告，则可以使用 Force 开关。此示例创建一个与上一示例相同的作用域，但没有警告。

New-ManagementScope "Executive Users Exclusive Scope" -RecipientRestrictionFilter { Department -Eq "Executives" } -Exclusive -Force

步骤 2：添加或更改管理角色分配

需要首先分配权限，然后才能执行此过程。若要查看所需的权限，请参阅角色管理权限主题中的“角色分配”条目。

创建作用域后，必须将其添加到新建或现有的管理角色分配。

如果创建了一个管理作用域并要将其添加到即将创建的新管理角色分配，请参阅下列主题：

• 向角色组添加角色
• 向用户或 USG 添加角色

如果创建了一个管理角色作用域并要将其添加到现有的管理角色分配，请参阅下列主题：

• 更改角色组中角色分配的作用域
• 更改角色分配