管理 Exchange Server 中的角色群組
管理角色群組是通用安全組, (USG) 在 Exchange Server 中的角色型存取控制 (RBAC) 許可權模型中使用。 管理角色群組可簡化將管理角色指派給使用者群組的作業。 角色群組的所有成員都會被指派同一組角色。 如需 Exchange Server 中角色群組的詳細資訊,請參閱 瞭解管理角色群組。
若欲瞭解更多與角色群組相關的管理工作,請參閱 權限。
開始之前有哪些須知?
每個程序的預估完成時間:5 到 10 分鐘
若要開啟 EAC,請參閱 Exchange Server 中的 Exchange 系統管理中心。 若要開啟 Exchange 管理命令介面,請參閱 開啟 Exchange 管理命令介面。
您必須已獲指派權限,才能執行此程序或這些程序。 若要查看您需要的權限,請參閱 角色管理權限主題中的「角色群組」項目。
如需適用於此主題中程序的快速鍵相關資訊,請參閱 Exchange 系統管理中心的鍵盤快速鍵。
提示
有問題嗎? 在 Exchange 論壇中尋求協助。 此論壇的網址為:Exchange Server、Exchange Online 或 Exchange Online Protection。
建立角色群組
如果您想自訂可以指派給使用者群組的權限,請建立新的自訂管理角色群組。
使用 EAC 建立角色群組
在 Exchange 系統管理中心 (EAC) 中,流覽至 [權限>管理員角色],然後按兩下 [新增
在 [ 新增角色群組 ] 視窗中,提供新角色群組的名稱。
您可以選取要指派給角色群組的角色,以及現在要新增至角色群組的成員,或是之後再這樣做。
選取要套用到新角色群組的寫入範圍。
按一下 [儲存] 以建立角色群組。
使用 Exchange 管理命令介面建立角色群組
若要建立角色群組,請參閱 New-RoleGroup 中的 Examples區段。
如何知道這是否正常運作?
若要確認是否已成功建立角色群組,請執行下列操作:
在 EAC 中,流覽至 [權 限>管理員角色]。
確認新的角色群組出現在角色群組清單中,然後選取該群組。
確認您在新角色群組上指定的成員、指派角色和範圍都列在角色群組詳細資料窗格中。
複製角色群組
使用 EAC 複製角色群組
如果您擁有的角色群組包含要授予使用者的權限,但是您希望套用其他管理範圍,或者希望移除或新增一個或兩個管理角色,而不必手動新增所有其他角色,則可以複製現有角色群組。
重要事項
如果您已使用 Exchange 管理命令介面在角色群組上設定多個管理角色範圍或專屬範圍,則無法使用 EAC 來複製角色群組。 如果您已在角色群組上設定多個範圍或專屬範圍,則必須使用本主題稍後的 Exchange 管理命令介面程式來複製角色群組。 如需管理角色範圍的詳細資訊,請參閱 瞭解管理角色範圍。
在 EAC 中,流覽至 [權 限>管理員角色]。
選取您想要複製的角色群組,然後按下 [複製]。
在 [ 新增角色群組 ] 視窗中,提供新角色群組的名稱。
檢閱已複製到新角色群組的角色。 視需要新增或移除角色。
檢閱寫入範圍,並視需要進行變更。
檢閱已複製到新角色群組的成員。 視需要新增或移除成員。
按一下 [儲存] 以建立角色群組。
使用 Exchange 管理命令介面來複製沒有範圍的角色群組
使用下列語法將您要複製的角色群組儲存到變數中。
$RoleGroup = Get-RoleGroup <name of role group to copy>
使用以下語法建立新角色群組,新增成員至該角色群組,並指定誰可以將新角色群組委派給其他使用者。
New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -Members <member1, member2, member3...> -ManagedBy <user1, user2, user3...>
例如,下列命令會複製組織管理角色群組,並將新的角色群組命名為「受限組織管理」。 它會新增成員Isabelle、以便與Lukas,並可由亞布及亞布亞委派。
$RoleGroup = Get-RoleGroup "Organization Management" New-RoleGroup "Limited Organization Management" -Roles $RoleGroup.Roles -Members Isabelle, Carter, Lukas -ManagedBy Jenny, Katie
建立新角色群組之後,您可以新增或移除角色、變更角色上角色指派的範圍以及進行其他作業。
如需詳細的語法及參數資訊,請參閱 Get-RoleGroup 與 New-RoleGroup。
使用 Exchange 管理命令介面複製具有自訂範圍的角色群組
使用下列語法將您要複製的角色群組儲存到變數中。
$RoleGroup = Get-RoleGroup <name of role group to copy>
使用下列語法建立具有自訂範圍的新角色群組。
New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name>
例如,以下命令將複製 Organization Management 角色群組,並建立名為 Vancouver Organization Management 的新角色群組,新群組的收件者範圍是 Vancouver Users,組態範圍是 Vancouver Servers。
$RoleGroup = Get-RoleGroup "Organization Management"
New-RoleGroup "Vancouver Organization Management" -Roles $RoleGroup.Roles -CustomRecipientWriteScope "Vancouver Users" -CustomConfigWriteScope "Vancouver Servers"
當您使用 Members 參數建立角色群組時,也可以將成員新增至角色群組,如本主題稍早 使用 Exchange 管理命令介面建立沒有範圍的角色指派 中所示。 如需管理範圍的詳細資訊,請參閱Understanding Management Scopes。
建立新角色群組之後,您可以新增或移除角色、變更角色上角色指派的範圍以及執行其他工作。
如需詳細的語法及參數資訊,請參閱 Get-RoleGroup 與 New-RoleGroup。
使用 Exchange 管理命令介面來複製具有 OU 範圍的角色群組
使用下列語法將您要複製的角色群組儲存到變數中。
$RoleGroup = Get-RoleGroup <name of role group to copy>
使用下列語法建立具有自訂範圍的新角色群組。
New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -RecipientOrganizationalUnitScope <OU name>
例如,以下命令將複製 Recipient Management 角色群組,並建立名為 Toronto Recipient Management 的新角色群組,新群組僅允許對 Toronto Users OU 中的使用者進行管理。
$RoleGroup = Get-RoleGroup "Recipient Management"
New-RoleGroup "Toronto Recipient Management" -Roles $RoleGroup.Roles -RecipientOrganizationalUnitScope "contoso.com/Toronto Users"
當您使用 Members 參數建立角色群組時,也可以將成員新增至角色群組,如本主題稍早 使用 Exchange 管理命令介面建立沒有範圍的角色指派 中所示。 如需管理範圍的詳細資訊,請參閱Understanding Management Scopes。
建立新角色群組之後,您可以新增或移除角色、變更角色上角色指派的範圍以及進行其他作業。
如需詳細的語法及參數資訊,請參閱 Get-RoleGroup 與 New-RoleGroup。
如何知道這是否正常運作?
若要確認是否已成功複製角色群組,請執行下列操作:
在 EAC 中,流覽至 [權 限>管理員角色]。
確認複製的角色群組出現在角色群組清單中,然後選取該群組。
確認您在複製的角色群組上指定的成員、指派角色和範圍都列在角色群組詳細資料窗格中。
移除角色群組
如果您不再需要您建立的角色群組,您可以將它移除。 移除角色群組時,也會刪除角色群組和管理角色之間的管理角色指派。 但不會刪除管理角色。 如果使用者依賴角色群組來存取功能,用戶將無法再存取該功能。 您無法移除內建的角色群組。
使用 EAC 移除角色群組
在 EAC 中,流覽至 [權 限>管理員角色]。
選取您想要移除的角色群組,然後按下 [刪除
確認您想要移除選取的角色群組,如果是,請回應 [是 ] 回應警告。
使用 Exchange 管理命令介面移除角色群組
若要移除角色群組,請參閱 Remove-RoleGroup 中的 Examples區段。
檢視角色群組
您可以檢視組織中的角色群組清單或特定角色群組的詳細資訊。
使用 EAC 檢視角色群組清單和角色群組詳細資料
在 EAC 中,流覽至 [權 限>管理員角色]。 組織中的所有角色群組都會列在這裡。
選取一個角色群組,以檢視針對該角色群組設定的成員、指派角色和範圍。
使用 Exchange 管理命令介面來檢視角色群組和角色群組詳細數據的清單
若要檢視角色群組清單,請參閱 Get-RoleGroup 中的 Examples區段。
將角色新增至角色群組
將管理角色新增至角色群組是授與許可權給系統管理員或專家使用者群組的最佳且最簡單方式。 如果您想要讓屬於角色群組成員的用戶能夠管理功能,請將管理功能的管理角色新增至角色群組。 新增角色之後,角色群組的成員會被授與角色所提供的許可權。
使用 EAC 將管理角色新增至角色群組
重要事項
如果您已使用 Exchange 管理命令介面在角色群組上設定多個管理角色範圍或專屬範圍,則無法使用 EAC 將角色新增至角色群組。 如果您已在角色群組上設定多個範圍或專屬範圍,則必須使用本主題稍後的 Exchange 管理命令介面程式,將角色新增至角色群組。 如需管理角色範圍的詳細資訊,請參閱 瞭解管理角色範圍。
在 EAC 中,流覽至 [權 限>管理員角色]。
選取您要新增角色的角色群組,然後按下 [編輯編輯
在 [ 角色] 區段中,選取您要新增至角色群組的角色。
當您完成將角色新增至角色群組后,請按兩下 [ 儲存]。
使用 Exchange 管理命令介面建立沒有範圍的角色指派
您可以建立角色指派,且角色與角色群組之間沒有範圍。 當您這樣做時,會套用角色的隱含讀取和隱含寫入範圍。
使用下列語法,將不含任何範圍的角色指派給角色群組。 如果您未指定角色指派名稱,則會自動建立角色指派名稱。
New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name>
本範例將「傳輸規則」管理角色指派給「西雅圖規範」角色群組。
New-ManagementRoleAssignment -SecurityGroup "Seattle Compliance" -Role "Transport Rules"
如需詳細的語法和參數資訊,請參閱 New-ManagementRoleAssignment。
使用 Exchange 管理命令介面建立具有預先定義範圍的角色指派
如果預先定義的範圍符合您的商務需求,您可以將該範圍套用至角色指派,而不是建立新的範圍。 如需預先定義的範圍及其描述清單,請參閱 瞭解管理角色範圍。
如需角色指派的詳細資訊,請參閱 瞭解管理角色指派。
使用下列語法,將角色指派給具有預先定義範圍的角色群組。 如果您未指定角色指派名稱,則會自動建立角色指派名稱。
New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -RecipientRelativeWriteScope < MyGAL | MyDistributionGroups | Organization | Self >
本範例將「郵件追蹤」角色指派給「企業支援」角色群組,並套用「組織」預先定義的範圍。
New-ManagementRoleAssignment -SecurityGroup "Enterprise Support" -Role "Message Tracking" -RecipientRelativeWriteScope Organization
如需詳細的語法和參數資訊,請參閱 New-ManagementRoleAssignment。
使用 Exchange 管理命令介面建立具有收件者篩選型範圍的角色指派
如果您已建立以收件者篩選為基礎的範圍,則必須使用 CustomRecipientWriteScope 參數,在用來將角色指派給角色群組的命令中包含範圍。
當您建立具有收件者寫入範圍的角色指派時,您也可以包含組態寫入範圍。
這個以使用者為主的角色有隱含的範圍,不能修改。因此,您不應將自訂的範圍新增至將此角色指派給角色指派原則、角色群組、USG 或使用者的角色指派。
使用下列語法,將角色指派給具有收件者篩選型範圍的角色群組。 如果您未指定角色指派名稱,則會自動建立角色指派名稱。
New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -CustomRecipientWriteScope <role scope name>
本範例將「郵件追蹤」角色指派給「西雅圖收件者管理員」角色群組,並套用「西雅圖收件者」範圍。
New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Message Tracking" -CustomRecipientWriteScope "Seattle Recipients"
如需詳細的語法和參數資訊,請參閱 New-ManagementRoleAssignment。
使用 Exchange 管理命令介面建立具有設定範圍的角色指派
如果您已建立伺服器或資料庫組態篩選或清單型範圍,則必須在命令中包含範圍,以使用 CustomConfigWriteScope 參數將角色指派給角色群組。
當您建立具有組態寫入範圍的角色指派時,您也可以包含收件者寫入範圍。
組態寫入範圍:決定角色群組的成員可以在 exADNoMk 修改的組態和伺服器物件。
使用下列語法,將角色指派給具有組態範圍的角色群組。 如果您未指定角色指派名稱,則會自動建立角色指派名稱。
New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -CustomConfigWriteScope <role scope name>
本範例將「資料庫」角色指派給「西雅圖伺服器管理員」角色群組,並套用「西雅圖伺服器」範圍。
New-ManagementRoleAssignment -SecurityGroup "Seattle Server Admins" -Role "Databases" -CustomConfigWriteScope "Seattle Servers"
如需詳細的語法和參數資訊,請參閱 New-ManagementRoleAssignment。
使用 Exchange 管理命令介面建立具有 OU 範圍的角色指派
如果您想要將角色的寫入範圍設定為 OU,您可以直接在 RecipientOrganizationalUnitScope 參數中指定 OU。
組態寫入範圍:決定角色群組的成員可以在 exADNoMk 修改的組態和伺服器物件。
使用下列命令將角色指派給角色群組,並將角色的寫入範圍限制為特定 OU。 如果您未指定角色指派名稱,則會自動建立角色指派名稱。
New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -RecipientOrganizationalUnitScope <OU>
本範例將「郵件收件者」角色指派給「西雅圖收件者管理員」角色群組,並將指派的範圍設定為 Contoso.com 網域中的銷售\使用者 OU。
New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users
如需詳細的語法和參數資訊,請參閱 New-ManagementRoleAssignment。
如何知道這是否正常運作?
若要確認是否已成功將角色新增至角色群組,請執行下列操作:
在 EAC 中,流覽至 [權 限>管理員角色]。
選取您新增角色的角色群組。 在 [角色群組詳細數據] 窗格中,確認已列出您新增的角色。
移除角色群組中的角色
從管理角色群組中移除角色,是撤銷授與系統管理員或專家使用者群組許可權的最佳且最簡單方式。 如果您不想讓系統管理員或專家用戶擁有管理功能的許可權,請從管理許可權的管理角色群組中移除管理角色。 拿掉角色之後,角色群組的成員將不再具有管理功能的許可權。
注意事項
某些角色群組,例如組織管理角色群組,會限制哪些角色可以從角色群組中移除。 如需詳細資訊,請 參閱瞭解管理角色群組。 > 如果系統管理員是另一個角色群組的成員,其中包含授與管理功能許可權的管理角色,您必須從其他角色群組中移除系統管理員,或移除授與許可權以從其他角色群組管理功能的角色。
使用 EAC 從角色群組中移除管理角色
重要事項
如果您已使用 Exchange 管理命令介面在角色群組上設定多個範圍或專屬範圍,則無法使用 EAC 從角色群組中移除角色。 如果您已在角色群組上設定多個範圍或專屬範圍,則必須使用本主題稍後的 Exchange 管理命令介面程式,從角色群組中移除角色。 如需管理角色範圍的詳細資訊,請參閱 瞭解管理角色範圍。
在 EAC 中,流覽至 [權 限>管理員角色]。
選取您要從中移除角色的角色群組,然後按兩下 [編輯編輯
在 [ 角色] 區段中,選取您要從角色群組中移除的角色。
當您完成移除角色群組中的角色之後,請按兩下 [ 儲存]。
使用 Exchange 管理命令介面從角色群組中移除角色
您可以使用 Get-ManagementRoleAssignment Cmdlet 擷取相關聯的管理角色指派,然後將傳回的角色指派傳回給 Remove-ManagementRoleAssignment Cmdlet,以從角色群組中移除角色。 除非您想要同時移除委派和一般角色指派,否則請指定 Delegating 參數來指定要移除一般或委派角色指派。
如需一般和委派角色指派的詳細資訊,請參閱Understanding Management Role Assignments。
此程序使用管線。 如需管線的詳細資訊,請 參閱 about_Pipelines。
若要從角色群組中移除角色,請使用下列語法。
Get-ManagementRoleAssignment -RoleAssignee <role group name> -Role <role name> -Delegating <$true | $false> | Remove-ManagementRoleAssignment
此範例會從「西雅圖收件者系統管理員」角色群組中移除「通訊群組」角色,讓系統管理員能夠管理通訊群組。 因為我們想要移除提供管理通訊群組許可權的角色指派,所以 委 派參數會設定為 $False
,這隻會傳回一般角色指派。
Get-ManagementRoleAssignment -RoleAssignee "Seattle Recipient Administrators" -Role "Distribution Groups" -Delegating $false | Remove-ManagementRoleAssignment
如需詳細的語法和參數資訊,請參閱 Remove-ManagementRoleAssignment。
如何知道這是否正常運作?
若要確認是否已成功從角色群組中移除角色,請執行下列操作:
在 EAC 中,流覽至 [權 限>管理員角色]。
選取您從中移除角色的角色群組。 在 [角色群組詳細數據] 窗格中,確認不再列出您移除的角色。
變更角色群組的範圍
角色群組與角色之間的管理角色指派包含管理範圍,可決定哪些物件可供該角色群組的成員使用。 藉由變更角色群組上的寫入範圍,您可以變更哪些物件可供角色群組成員建立、變更或移除。 您無法變更角色群組上的讀取範圍。
Exchange Server 包含未建立自定義範圍時,預設套用至角色指派的範圍。 如果您想要在角色群組上搭配角色指派使用自定義範圍,則必須先建立一個。 如需建立自定義範圍的詳細資訊,這是進階工作,請參閱 建立一般或專屬範圍。
如需 Exchange Server 中管理角色範圍和指派的詳細資訊,請參閱下列主題:
使用 EAC 變更角色群組的範圍
當您使用EAC變更角色群組上的範圍時,實際上是變更角色群組與指派給角色群組之每個管理角色之間所有角色指派的範圍。 如果您想要變更特定角色指派的範圍,您必須使用本主題稍後的 Exchange 管理命令介面程式。
重要事項
如果您已使用 Exchange 管理命令介面在這些角色指派上設定多個範圍或專屬範圍,則無法使用 EAC 來管理角色與角色群組之間的角色指派範圍。 如果您已在這些角色指派上設定多個範圍或專屬範圍,則必須使用本主題稍後的 Exchange 管理命令介面程式來管理範圍。 如需管理角色範圍的詳細資訊,請參閱 瞭解管理角色範圍。
在 EAC 中,流覽至 [權 限>管理員角色]。
選取您想要變更範圍的角色群組,然後按兩下 [編輯編輯
在以下兩個 [寫入範圍] 選項中,選取其中之一:
下拉式方塊中的寫入範圍,您可以在其中選取預設寫入範圍或自訂寫入範圍。
組織單位:如果您想要將此角色群組的範圍設定為 OU,請選取此選項,並提供組織單位 (OU) 。
按一下 [儲存] 來儲存角色群組的變更。
使用 Exchange 管理命令介面同時變更角色群組上所有角色指派的範圍
角色群組與指派給角色之間的角色指派,可以使用從角色本身取得的隱含範圍、相同的自定義範圍或不同的自定義範圍。 如需角色指派的詳細資訊,請參閱 瞭解管理角色指派。
角色指派的範圍是使用 Set-ManagementRoleAssignment Cmdlet 來管理。 您無法使用 Set-RoleGroup Cmdlet 來管理範圍。
若要同時變更角色群組與一組管理角色之間的所有角色指派範圍,您必須先擷取角色群組上的角色指派,然後在每個指派上設定新範圍。 您可以使用 Get-ManagementRoleAssignment Cmdlet 來擷取角色指派,然後使用管線將它們傳送至 Set-ManagementRoleAssignment Cmdlet 來執行此動作。
此程式使用管線和 WhatIf 參數的概念。 如需詳細資訊,請參閱下列主題:
若要同時在角色群組上的所有角色指派上設定範圍,請使用以下語法。
Get-ManagementRoleAssignment -RoleAssignee <name of role group> | Set-ManagementRoleAssignment -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name> -RecipientRelativeScopeWriteScope < MyDistributionGroups | Organization | Self> -ExclusiveRecipientWriteScope <exclusive recipient scope name> -ExclusiveConfigWriteScope <exclusive configuration scope name> -RecipientOrganizationalUnitScope <organizational unit>
您只需要使用參數來設定您想要使用的範圍。 例如,如果您想要將 Sales Recipient Management 角色群組上所有角色指派的收件者範圍變更為 Direct Sales Employees,請使用下列命令。
Get-ManagementRoleAssignment -RoleAssignee "Sales Recipient Management" | Set-ManagementRoleAssignment -CustomRecipientWriteScope "Direct Sales Employees"
注意事項
您可以使用 WhatIf 參數來確認只變更您想要變更的角色指派。 使用 WhatIf 參數執行上述命令以驗證結果,然後移除 WhatIf 參數以套用變更。
如需變更管理角色指派的詳細資訊,請參閱 變更角色指派。
如需詳細的語法和參數資訊,請參閱 Get-ManagementRoleAssignment。
使用 Exchange 管理命令介面來變更角色群組上個別角色指派的範圍
角色群組與指派給角色之間的角色指派,可以使用從角色本身取得的隱含範圍、相同的自定義範圍或不同的自定義範圍。 如需角色指派的詳細資訊,請參閱 瞭解管理角色指派。
角色指派的範圍是使用 Set-ManagementRoleAssignment Cmdlet 來管理。 您無法使用 Set-RoleGroup Cmdlet 來管理範圍。
此程式使用管線和 Format-List Cmdlet 的概念。 如需詳細資訊,請參閱下列主題:
若要在角色群組和管理角色之間的角色指派上變更範圍,您必須先找到角色指派的名稱,然後在角色指派上設定範圍。
若要尋找角色群組上所有角色指派的名稱,請使用下列命令。 藉由將管理角色指派管線傳送至 Format-List Cmdlet,您可以檢視指派的完整名稱。
Get-ManagementRoleAssignment -RoleAssignee <role group name> | Format-List Name
尋找您想要變更的角色指派名稱。 在下一個步驟中使用角色指派的名稱。
若要在個別指派上設定範圍,請使用下列語法。
Set-ManagementRoleAssignment <role assignment name> -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name> -RecipientRelativeScopeWriteScope < MyDistributionGroups | Organization | Self> -ExclusiveRecipientWriteScope <exclusive recipient scope name> -ExclusiveConfigWriteScope <exclusive configuration scope name> -RecipientOrganizationalUnitScope <organizational unit>
您只需要使用參數來設定您想要使用的範圍。 例如,如果您想要將 [郵件Recipients_Sales收件者管理] 角色指派的收件者範圍變更為 [所有銷售員工],請使用下列命令。
Set-ManagementRoleAssignment "Mail Recipients_Sales Recipient Management" -CustomRecipientWriteScope "All Sales Employees"
如需變更管理角色指派的詳細資訊,請參閱 變更角色指派。
如需詳細的語法及參數資訊,請參閱 Set-ManagementRoleAssignment。
如何知道這是否正常運作?
若要確認已成功變更角色群組中角色指派的範圍,請執行下列操作:
如果您使用 EAC 設定角色群組的範圍,請執行下列操作:
在 EAC 中,流覽至 [權 限>管理員角色]。 您組織中的所有角色群組都會列在這裡。
選取角色群組,以檢視對角色群組設定的範圍。
如果您使用 Exchange 管理命令介面來設定角色群組上的範圍,請執行下列動作:
在 Exchange 管理命令介面 中執行下列命令。
Get-ManagementRoleAssignment -RoleAssignee <role group name> | Format-Table *WriteScope
確認角色指派的寫入範圍已變更為您指定的範圍。
新增或移除角色群組委派
角色群組委派是 (USG) 的使用者或萬用安全組,可從角色群組新增或移除成員,或變更角色群組的屬性。 藉由新增或移除角色群組委派,您可以控制誰可以管理角色群組。
重要事項
在您新增代理人到角色群組之後,僅能由角色群組上的代理人或指派的使用者直接或間接、以角色對角色來管理角色群組。 >如果直接或間接指派使用者角色管理角色,而且未新增為角色群組的委派,則用戶必須在 Add-RoleGroupMember、Remove-RoleGroupMember、Update-RoleGroupMember 和 Set-RoleGroup Cmdlet 上使用 BypassSecurityGroupManagerCheck 參數來管理角色群組。
注意事項
您無法使用 EAM 將委派新增至角色群組。
使用 Exchange 管理命令介面將委派新增至角色群組
若要變更角色群組上的委派清單,您可以在 Set-RoleGroup Cmdlet 上使用 ManagedBy 參數。 ManagedBy 參數會覆寫角色群組上的整個委派清單。 如果您想要將委派新增至角色群組,而不是取代整個委派清單,請使用下列步驟:
使用下列命令,透過變數儲存角色群組。
$RoleGroup = Get-RoleGroup <role group name>
使用以下命令新增代理人到儲存於變數中的角色群組。
$RoleGroup.ManagedBy += (Get-User <user to add>).Identity
注意事項
如果您想要新增 USG,請使用 Get-Group Cmdlet。
重複步驟 2 來新增其他代理人。
使用下列命令,將新的委派清單套用至實際的角色群組。
Set-RoleGroup <role group name> -ManagedBy $RoleGroup.ManagedBy
此範例會在 組織管理 角色群組上新增使用者 David Strome 以做為代理人。
$RoleGroup = Get-RoleGroup "Organization Management"
$RoleGroup.ManagedBy += (Get-User "David Strome").Identity
Set-RoleGroup "Organization Management" -ManagedBy $RoleGroup.ManagedBy
如需詳細的語法及參數資訊,請參閱 Set-RoleGroup。
使用 Exchange 管理命令介面從角色群組移除委派
若要變更角色群組上的委派清單,您可以在 Set-RoleGroup Cmdlet 上使用 ManagedBy 參數。 ManagedBy 參數會覆寫角色群組上的整個委派清單。 如果您要從角色群組移除委派,而不是取代整個委派清單,請使用下列步驟:
使用下列命令,透過變數儲存角色群組。
$RoleGroup = Get-RoleGroup <role group name>
使用以下命令移除儲存於變數中之角色群組的代理人。
$RoleGroup.ManagedBy -= (Get-User <user to remove>).Identity
注意事項
如果您想要移除 USG,請使用 Get-Group Cmdlet。
重複步驟 2 來移除其他代理人。
使用下列命令,將新的委派清單套用至實際的角色群組。
Set-RoleGroup <role group name> -ManagedBy $RoleGroup.ManagedBy
此範例會移除在 組織管理 角色群組做為代理人的使用者 David Strome。
$RoleGroup = Get-RoleGroup "Organization Management"
$RoleGroup.ManagedBy -= (Get-User "David Strome").Identity
Set-RoleGroup "Organization Management" -ManagedBy $RoleGroup.ManagedBy
如需詳細的語法及參數資訊,請參閱 Set-RoleGroup。
如何知道這是否正常運作?
若要確認是否已成功變更角色群組上的委派清單,請執行下列操作:
在 Exchange 管理命令介面 中,執行下列命令。
Get-RoleGroup <role group name> | Format-List ManagedBy
確認 ManagedBy 屬性上列出的委派只包含應該能夠管理角色群組的委派。