创建独占写入作用域
适用于: Office 365 for enterprises, Live@edu
上一次修改主题: 2011-03-19
独占写入作用域**将隔离特定的邮箱,以便只有指定的管理员才能管理这些邮箱。例如,您可使用一个独占写入作用域来隔离组织中高级管理人员或 Exchange Online 管理员的邮箱。可管理组织中邮箱的技术支持人员或其他管理员无法修改该独占写入作用域所定义的高级管理人员或 Exchange Online 管理员的邮箱。
独占写入作用域是基于收件人筛选器的自定义写入作用域。可使用 Windows PowerShell 创建独占写入作用域。收件人筛选器需要使用 OPATH,即由 Windows PowerShell 使用的筛选语法。
开始之前
- 创建一个独占写入作用域后,包括 Exchange Online 管理员在内的任何管理员都将无法再修改匹配该作用域所使用的收件人筛选器的邮箱。对于需要修改或删除独占写入作用域所定义的邮箱的所有管理员,必须使用该独占写入作用域向这些管理员分配相应的管理员角色。
但是,不同的独占写入作用域可以共同具备某些邮箱。通过使用某个独占写入作用域向其分配了角色的管理员可以管理该独占写入作用域所定义的所有邮箱,与其他任何独占写入作用域是否也可能包含了部分或全部的相同邮箱无关。例如,假定某个独占写入作用域使用收件人筛选器“Title equals Manager”,而另一个不同的独占写入作用域使用收件人筛选器“Department equals Finance”。使用独占写入作用域“Title equals Manager”向其分配了角色的管理员可以在职务为“Manager”的情况下管理部门为“Finance”的邮箱。同样,使用独占写入作用域“Department equals Finance”向其分配了角色的管理员可以在部门为“Finance”的情况下管理职务为“Manager”的邮箱。 - 若要了解如何安装和配置 Windows PowerShell 以及如何连接到服务,请参阅使用 Windows PowerShell。
- 有关收件人筛选器语法(包括运算符和可筛选收件人属性)的详细信息,请参阅使用自定义筛选器创建动态通讯组。
创建独占写入作用域
运行以下命令:
New-ManagementScope -Name <name> -RecipientRestrictionFilter {<filter>} -Exclusive
示例 以下命令将创建一个名为“Vancouver Executives”的独占写入作用域,用于指定位于温哥华的其部门以“Executive”开头的所有邮箱。
New-ManagementScope -Name "Vancouver Executives" -RecipientRestrictionFilter {(RecipientType -eq 'UserMailbox') -and (City -eq 'Vancouver') -and (Department -like 'Executive*')} -Exclusive
注意 若要列出此独占写入作用域所定义的邮箱,请运行以下命令:
Get-User | where {($_.RecipientType -eq 'UserMailbox') -and ($_.City -eq 'Vancouver') -and ($_.Department -like 'Executive*')}
使用独占写入作用域
创建独占写入作用域后,需要将此作用域与一个角色分配关联。角色分配将管理角色与角色组、安全组或邮箱关联起来。为角色组分配某角色将会授予角色组成员使用在该角色中定义的 Windows PowerShell cmdlet 和参数的权限。角色分配的写入作用域控制可以使用角色的位置。
接着上面的示例,让我们来执行以下操作:
- 新建一个名为“Vancouver Executive Administrators”的角色组,并添加希望管理“Vancouver Executives”角色组的用户的邮箱。
- 将用于向该角色组分配所有角色的默认写入作用域替换为独占写入作用域“Vancouver Executives”。
新建角色组并添加成员
- 在 Exchange 控制面板中,选择“管理我的组织”>“角色和审核”>“管理员角色”,然后单击“新建”。
- 在“新建角色组”窗口中,输入以下信息。
- 名称 Vancouver Executive Administrators
- 说明 此角色允许指定的管理员管理“Vancouver Executives”独占写入作用域所隔离的重要用户。
- 角色 单击“添加”。选择以下角色,并单击“添加”:
• Audit Logs
• Legal Hold
• Mail Recipient Creation
• Mail Recipients
• Reset Password
• Retention Management
• UM Mailboxes
• User Options
完成后,请单击“确定”。 - 成员 单击“添加”。添加“组织管理”角色组、以及希望修改“Vancouver Executives”的邮箱的其他用户或组。若要向角色组添加成员,请选择相应的用户或组,然后单击“添加”。针对每个用户或组重复此过程。
- 完成后,单击“确定”,然后单击“保存”。
注意 并非所有组织均可使用全部的角色。如前面所述,独占写入作用域将隔离其所定义的邮箱。您需要添加允许管理员修改或删除邮箱的任意管理员角色。
具体来说,您需要添加使用 Set-Mailbox 或 Remove-Mailbox cmdlet 的所有管理员角色。若要查看这些角色,请在 Windows PowerShell 中运行以下命令:
Get-ManagementRoleEntry *\Set-Mailbox | where {$_.Role -notlike 'My*'}
Get-ManagementRoleEntry *\Remove-Mailbox| where {$_.Role -notlike 'My*'}
不需要其他角色,例如,仅查看角色或允许修改组织对象(如传输规则)的角色。此外,不能将最终用户角色与独占写入作用域一起使用。
将角色组的所有角色分配的默认写入作用域替换为独占写入作用域
在 Windows PowerShell 中,运行以下命令:
Get-ManagementRoleAssignment -RoleAssignee <role group> | Set-ManagementRoleAssignment -ExclusiveRecipientWriteScope <exclusive write scope>
在此示例中,角色组的名称为“Vancouver Executive Administrators”,而独占写入作用域的名称为“Vancouver Executives”。运行以下命令:
Get-ManagementRoleAssignment -RoleAssignee "Vancouver Executive Administrators" | Set-ManagementRoleAssignment -ExclusiveRecipientWriteScope "Vancouver Executives"
需要考虑的问题
如果某个未指定的管理员尝试更改可构成由独占写入作用域所定义的邮箱的邮箱属性,则更改将失败。例如,如果独占写入作用域使用收件人筛选器“Title equals Manager”,则未指定的管理员或技术支持人员无法将邮箱的 Title 特性更改为值“Manager”。
添加到角色组的用户可能需要注销并再次登录,才能授予修改独占写入作用域所定义的邮箱的访问权限。
将独占写入作用域应用到分配给角色组的角色后,您将无法在 Exchange 控制面板中添加或删除角色。必须使用 Windows PowerShell。
若要向角色组添加角色,请运行以下命令:New-ManagementRoleAssignment -SecurityGroup <role group> -Role <role name> -ExclusiveRecipientWriteScope <exclusive write scope>
若要删除角色组中的角色,请运行以下命令:
Get-ManagementRoleAssignment -RoleAssignee <role group> -Role <role name> -Delegating $false | Remove-ManagementRoleAssignment