创建镜像内置角色组的链接角色组

**适用于：**Exchange Server 2010

**上一次修改主题：**2009-10-12

使用 Microsoft Exchange Server 2010 中的链接管理角色组，可以将 Exchange 2010 资源林中的角色组与外部用户林中的通用安全组 (USG) 进行链接。当您想要让拥有用户林帐户的管理员管理资源林中运行 Exchange 的服务器时，这将非常有用。有关链接角色组的详细信息，请参阅了解管理角色组。

默认情况下，Exchange 2010 包括多个内置角色组，这些角色组可提供管理多种特性和作业功能的权限。每个角色组针对每种特性和作业功能进行定制，以提供特定权限。但是，这些角色组无法链接到外部林中的 USG。它们只能包含来自本地资源林的用户和 USG。幸运的是，可以使用链接角色组来复制这些内置角色组。

您可以将每个内置角色组重新创建为链接角色组。分配到每个角色组的所有管理角色和管理作用域都将添加到新的链接角色组。有关管理角色和管理作用域的详细信息，请参阅以下主题：

• 了解管理角色
• 了解管理角色作用域

若要了解与角色组相关的其他管理任务，请查看管理管理员和专家用户。

先决条件

• 配置链接角色组需要链接角色组所属资源 Active Directory 林与用户和 USG 所属外部 Active Directory 林之间的单向信任。资源林必须信任外部林。
• 您必须具有关于外部 Active Directory 林的以下信息：
  • 凭据：必须具有有权访问外部 Active Directory 林的用户名和密码。此参数与 New-RoleGroup cmdlet 中的 LinkedCredential 参数配合使用。此信息通过运行 Get-Credential cmdlet 获得。用户名的格式为域名\用户名。
  • 域控制器：必须具有外部 Active Directory 林中 Active Directory 域控制器的完全限定域名 (FQDN)。此参数与 New-RoleGroup cmdlet 中的 LinkedDomainController 参数配合使用。
  • 外部 USG：必须具有外部 Active Directory 林中 USG 的全名，其中该林包含您希望使之与链接角色组关联的成员。此参数与 New-RoleGroup cmdlet 中的 LinkedForeignGroup 参数配合使用。

使用命令行管理程序创建复制内置角色组的链接角色组

需要首先分配权限，然后才能执行此过程。若要查看所需的权限，请参阅角色管理权限主题中的“角色组”条目。

备注

不能使用 EMC 创建复制内置角色组的链接角色组。

以下各部分将介绍如何将每个角色组重新创建为链接角色组。完成每个部分所述的步骤，以将所有内置角色组重新创建为链接角色组。

创建组织管理链接角色组

若要将 组织管理 角色组重新创建为链接角色组，执行的步骤将不同于重新创建其他内置角色组所采取的步骤。这是因为 组织管理 角色组与所有管理角色之间都存在委派角色分配。重新创建委派角色分配需要额外采取一个步骤。

1. 在外部林中创建将链接到 组织管理 角色组的 USG。

2. 将外部 Active Directory 林的凭据存储在一个变量中。

   $ForeignCredential = Get-Credential
   

3. 将分配到 组织管理 角色组的所有角色存储在一个变量中。

   $OrgMgmt  = Get-RoleGroup "Organization Management"
   

4. 创建 组织管理 链接角色组并添加分配到内置 组织管理 角色组的角色。

   New-RoleGroup "Organization Management - Linked" -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign ExADNoMk domain controller> -LinkedCredential $ForeignCredential -Roles $OrgMgmt.Roles
   

5. 删除新 组织管理 链接角色组与 My* 最终用户角色之间的所有常规分配。

   Get-ManagementRoleAssignment -RoleAssignee "Organization Management - Linked" -Role My* | Remove-ManagementRoleAssignment
   

6. 在新 组织管理 链接角色组和所有管理角色之间添加委派角色分配。

   Get-ManagementRole | New-ManagementRoleAssignment -SecurityGroup "Organization Management - Linked" -Delegating
   

本示例假定以下值分别用于每个参数：

• LinkedForeignGroup：Organization Management Administrators
• LinkedDomainController：DC01.users.contoso.com

通过使用前面的值，本示例可将 组织管理 角色组重新创建为链接角色组。

$ForeignCredential = Get-Credential
$OrgMgmt  = Get-RoleGroup "Organization Management"
New-RoleGroup "Organization Management - Linked" -LinkedForeignGroup "Organization Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $OrgMgmt.Roles
Get-ManagementRoleAssignment -RoleAssignee "Organization Management - Linked" -Role My* | Remove-ManagementRoleAssignment
Get-ManagementRole | New-ManagementRoleAssignment -SecurityGroup "Organization Management - Linked" -Delegating

创建其他所有链接角色组

若要将内置角色组（组织管理 角色组除外）重新创建为链接角色组，请使用以下用于每个组的步骤。

1. 在各个角色组的外部林中创建将链接到各个新角色组的 USG。

2. 将外部 Active Directory 林的凭据存储在一个变量中。此操作只需执行一次。

   $ForeignCredential = Get-Credential
   

3. 使用以下 cmdlet 检索角色组列表。

   Get-RoleGroup
   

4. 对于每个角色组（组织管理 角色组除外），执行以下操作：

   $RoleGroup = Get-RoleGroup <name of role group to re-create>
   New-RoleGroup "<role group name> - Linked" -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles
   

5. 对于每个您要将其重新创建为链接角色组的内置角色组，可重复前面的步骤。

本示例假定以下值分别用于每个参数：

• LinkedDomainController：DC01.users.contoso.com
• 要重新创建为链接角色组的内置角色组：Recipient Management, Server Management
• Recipient Management 链接角色组的外部组：Recipient Management Administrators
• Server Management 链接角色组的外部组：Server Management Administrators

通过使用前面的值，本示例可将 收件人管理 和 Server Management 角色组重新创建为链接角色组。

$ForeignCredential = Get-Credential
Get-RoleGroup
$RoleGroup = Get-RoleGroup "Recipient Management"
New-RoleGroup "Recipient Management - Linked" -LinkedForeignGroup "Recipient Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles
$RoleGroup = Get-RoleGroup "Server Management"
New-RoleGroup "Server Management - Linked" -LinkedForeignGroup "Server Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles

其他任务

创建链接角色组之后，您可能还需要：

• 使用外部林中的 Active Directory 用户和计算机向外部 USG 中添加成员。
• 删除内置角色组的成员。有关详细信息，请参阅从角色组删除成员。
• 向新的链接角色组中添加其他角色。有关详细信息，请参阅向角色组添加角色。
• 从新的链接角色组中删除角色。有关详细信息，请参阅从角色组中删除角色。
• 更改新链接角色组与管理角色之间的角色分配的作用域。有关详细信息，请参阅更改角色组中角色分配的作用域。
• 创建其他链接角色组。有关详细信息，请参阅创建链接的角色组。