New-ManagementRoleAssignment

模組:

ExchangePowerShell

適用於:

Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection

內部部署 Exchange 和雲端式服務有提供此 Cmdlet。 有些參數和設定可能是某一個環境所專屬。

使用 New-ManagementRoleAssignment Cmdlet 將管理角色指派給管理角色群組、管理角色指派原則、使用者或通用安全性群組 (USG) 。

如需下方＜語法＞一節中參數集的詳細資訊，請參閱 Exchange Cmdlet 語法。

Syntax

New-ManagementRoleAssignment
   [[-Name] <String>]
   -Role <RoleIdParameter>
   -App <ServicePrincipalIdParameter>
   [-CustomResourceScope <ManagementScopeIdParameter>]
   [-Confirm]
   [-Delegating]
   [-Force]
   [-RecipientAdministrativeUnitScope <AdministrativeUnitIdParameter>]
   [-WhatIf]
   [<CommonParameters>]

New-ManagementRoleAssignment
   [[-Name] <String>]
   -Computer <ComputerIdParameter>
   -Role <RoleIdParameter>
   [-Confirm]
   [-CustomConfigWriteScope <ManagementScopeIdParameter>]
   [-CustomRecipientWriteScope <ManagementScopeIdParameter>]
   [-DomainController <Fqdn>]
   [-ExclusiveConfigWriteScope <ManagementScopeIdParameter>]
   [-ExclusiveRecipientWriteScope <ManagementScopeIdParameter>]
   [-Force]
   [-RecipientAdministrativeUnitScope <AdministrativeUnitIdParameter>]
   [-RecipientOrganizationalUnitScope <OrganizationalUnitIdParameter>]
   [-RecipientRelativeWriteScope <RecipientWriteScopeType>]
   [-UnScopedTopLevel]
   [-WhatIf]
   [<CommonParameters>]

New-ManagementRoleAssignment
   [[-Name] <String>]
   -Policy <MailboxPolicyIdParameter>
   -Role <RoleIdParameter>
   [-Confirm]
   [-CustomConfigWriteScope <ManagementScopeIdParameter>]
   [-CustomRecipientWriteScope <ManagementScopeIdParameter>]
   [-DomainController <Fqdn>]
   [-ExclusiveConfigWriteScope <ManagementScopeIdParameter>]
   [-ExclusiveRecipientWriteScope <ManagementScopeIdParameter>]
   [-Force]
   [-RecipientAdministrativeUnitScope <AdministrativeUnitIdParameter>]
   [-RecipientOrganizationalUnitScope <OrganizationalUnitIdParameter>]
   [-RecipientRelativeWriteScope <RecipientWriteScopeType>]
   [-UnScopedTopLevel]
   [-WhatIf]
   [<CommonParameters>]

New-ManagementRoleAssignment
   [[-Name] <String>]
   -Role <RoleIdParameter>
   -SecurityGroup <SecurityGroupIdParameter>
   [-Delegating]
   [-Confirm]
   [-CustomConfigWriteScope <ManagementScopeIdParameter>]
   [-CustomRecipientWriteScope <ManagementScopeIdParameter>]
   [-DomainController <Fqdn>]
   [-ExclusiveConfigWriteScope <ManagementScopeIdParameter>]
   [-ExclusiveRecipientWriteScope <ManagementScopeIdParameter>]
   [-Force]
   [-RecipientAdministrativeUnitScope <AdministrativeUnitIdParameter>]
   [-RecipientOrganizationalUnitScope <OrganizationalUnitIdParameter>]
   [-RecipientRelativeWriteScope <RecipientWriteScopeType>]
   [-UnScopedTopLevel]
   [-WhatIf]
   [<CommonParameters>]

New-ManagementRoleAssignment
   [[-Name] <String>]
   -Role <RoleIdParameter>
   -User <UserIdParameter>
   [-Delegating]
   [-Confirm]
   [-CustomConfigWriteScope <ManagementScopeIdParameter>]
   [-CustomRecipientWriteScope <ManagementScopeIdParameter>]
   [-DomainController <Fqdn>]
   [-ExclusiveConfigWriteScope <ManagementScopeIdParameter>]
   [-ExclusiveRecipientWriteScope <ManagementScopeIdParameter>]
   [-Force]
   [-RecipientAdministrativeUnitScope <AdministrativeUnitIdParameter>]
   [-RecipientOrganizationalUnitScope <OrganizationalUnitIdParameter>]
   [-RecipientRelativeWriteScope <RecipientWriteScopeType>]
   [-UnScopedTopLevel]
   [-WhatIf]
   [<CommonParameters>]

Description

當您新增角色指派時，可以指定使用 New-ManagementRole Cmdlet 建立的內建或自訂角色，並指定組織單位 (OU) 或預先定義或自訂管理範圍來限制指派。

您可以使用 New-ManagementScope 指令程式建立自訂管理範圍，並使用 Get-ManagementScope 指令程式檢視現有範圍的清單。 如果您選擇不指定 OU 或預先定義或自訂的範圍，角色的隱含寫入範圍會套用至角色指派。

如需管理角色指派的詳細資訊，請參閱了解管理角色指派。

您必須已獲指派權限，才能執行此指令程式。 雖然本主題已列出這個指令程式的所有參數，不過，如果某些參數並未包含在指派給您的權限中，您可能就無法存取這些參數。 若要尋找在組織中執行任何 Cmdlet 或參數所需的權限，請參閱 Find the permissions required to run any Exchange cmdlet。

範例

範例 1

New-ManagementRoleAssignment -Role "Mail Recipients" -SecurityGroup "Tier 2 Help Desk"

此範例會將郵件收件者角色指派給第 2 層技術支援中心角色群組。

範例 2

Get-ManagementRole "MyVoiceMail" | Format-Table Name, IsEndUserRole

New-ManagementRoleAssignment -Role "MyVoiceMail" -Policy "Sales end-users"

此範例會將 MyVoiceMail 角色指派給「銷售終端使用者」角色指派原則。 首先，MyVoiceMail 角色上的 IsEndUserRole 屬性已驗證為確定已設定為 $true，表示它是使用者角色。

在角色已驗證為使用者角色之後，角色會指派給「銷售終端使用者」角色指派原則。

範例 3

New-ManagementRoleAssignment -Role "Eng Help Desk" -SecurityGroup "Eng HD Personnel" -RecipientOrganizationalUnitScope contoso.com/Engineering/Users

此範例會將 Eng 技術支援中心角色指派給 Eng HD 人員角色群組。 指派會將角色的收件者寫入範圍限制為 contoso.com/Engineering/Users OU。 身為 Eng HD 人員角色群組成員的使用者只能建立、修改或移除該 OU 中包含的物件。

範例 4

New-ManagementRoleAssignment -Role "Distribution Groups" -SecurityGroup "North America Exec Assistants" -CustomRecipientWriteScope "North America Recipients"

本範例會將「通訊群組」角色指派給 北美洲 Exec Assistants 角色群組。 指派會將角色的收件者寫入範圍限制為北美洲收件者自訂收件者管理範圍中指定的範圍。 身為 北美洲 Exec Assistants 角色群組成員的使用者，只能建立、修改或移除符合指定自訂收件者管理範圍的通訊群組物件。

範例 5

New-ManagementRoleAssignment -Name "Exchange Servers_John" -Role "Exchange Servers" -User John -CustomConfigWriteScope "Sydney Servers"

此範例會將 Exchange Servers 角色指派給 John。 因為 John 應該只管理在雪梨執行 Exchange 的伺服器，所以角色指派會將角色的設定寫入範圍限制為雪梨伺服器自訂設定角色群組中指定的範圍。 John 只能管理符合指定自訂群組態管理範圍的伺服器。

範例 6

New-ManagementRoleAssignment -Name "Excl-Mail Recipients_Executive Administrators" -Role "Mail Recipients" -SecurityGroup "Executive Administrators" -ExclusiveRecipientWriteScope "Exclusive-Executive Recipients"

此範例會將郵件收件者角色指派給執行管理員角色群組。 指派會將角色的收件者寫入範圍限制為Exclusive-Executive收件者專屬收件者管理範圍中指定的範圍。 因為Exclusive-Executive收件者範圍是獨佔範圍，所以只有執行系統管理員的使用者可以管理符合獨佔收件者範圍的主管收件者。 沒有其他使用者可以修改主管收件者，除非他們也獲指派使用與相同使用者相符之專屬範圍的指派。

範例 7

New-ManagementRoleAssignment -Name "Mail Recipients_Contoso Seattle" -Role "Mail Recipients" -SecurityGroup "Contoso Sub - Seattle" -CustomConfigWriteScope "Contoso Databases" -RecipientOrganizationalUnitScope adatum.com/Contoso/Seattle/Users

此範例會將郵件收件者角色指派給 Contoso Sub - Seattle 角色群組。 此角色群組中的系統管理員只能在 Contoso 子公司 A. Datum Corporation (adatum.com) 所配置的特定資料庫中建立和管理郵件收件者。 此外，應該只允許這群系統管理員管理位於西雅圖辦公室的 Contoso 員工。 這可藉由建立同時具有資料庫範圍的角色指派，將郵件收件者的管理限制為僅限資料庫範圍和收件者 OU 範圍中的資料庫，以限制只存取 Contoso Seattle OU 內的收件者物件。

參數

-App

此參數只能在雲端式服務中使用。

App 參數會指定要指派管理角色的服務主體。 具體來說，Get-ServicePrincipal Cmdlet 輸出中的 ServiceId GUID 值 (例如，6233fba6-0198-4277-892f-9275bf728bcc) 。

如需服務主體的詳細資訊，請參閱 Azure Active Directory 中的應用程式和服務主體物件。

您無法搭配 SecurityGroup、Policy 或 User Cmdlet 使用此參數。

Type:	ServicePrincipalIdParameter
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Online, Exchange Online Protection

-Computer

此參數僅適用於內部部署 Exchange。

Computer 參數會指定要指派管理角色的電腦名稱稱。

您無法搭配 SecurityGroup、User 或 Policy 參數使用此參數。

Type:	ComputerIdParameter
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-Confirm

Confirm 參數會指定要顯示或隱藏確認提示。 這個參數對 Cmdlet 的影響取決於 Cmdlet 是否需要確認才能繼續作業。

• 例如，具破壞性的 Cmdlet (例如 Remove-* Cmdlet) 內建暫停，可強制您在繼續之前確認命令。 對於這些 Cmdlet，您可以使用以下確切語法來略過確認提示：-Confirm:$false。
• 其他大部分的 Cmdlet (例如，New-* 和 Set-* Cmdlet) 沒有內建暫停。 在使用這些 Cmdlet 時，指定不含任何值的 Confirm 參數會引入強迫您認可命令後才繼續作業的暫停。

Type:	SwitchParameter
Aliases:	cf
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection

-CustomConfigWriteScope

此參數僅適用於內部部署 Exchange。

CustomConfigWriteScope 參數會指定要與此管理角色指派相關聯的現有設定範圍。 如果您使用 CustomConfigWriteScope 參數，則無法使用 ExclusiveConfigWriteScope 參數。 如果管理範圍名稱包含空格，請將名稱括在引號 (「) 。

Type:	ManagementScopeIdParameter
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-CustomRecipientWriteScope

CustomRecipientWriteScope 參數會指定以收件者為基礎的現有管理範圍與此管理角色指派產生關聯。 如果管理範圍名稱包含空格，請將名稱括在引號 (「) 。 如果您使用 CustomRecipientWriteScope 參數，則無法使用 RecipientOrganizationalUnitScope 或 ExclusiveRecipientWriteScope 參數。

Type:	ManagementScopeIdParameter
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection

-CustomResourceScope

此參數只能在雲端式服務中使用。

CustomResourceScope 參數會指定要與此管理角色指派相關聯的自訂管理範圍。 您可以使用可唯一識別管理範圍的任何值。 例如：

• 名稱
• 辨別名稱 (DN)
• GUID

如果值包含空格，請使用引號 (") 括住值。

您可以使用此參數搭配 App 參數，將許可權指派給服務主體。 如需詳細資訊，請參閱如需服務主體的詳細資訊，請參閱 Azure Active Directory 中的應用程式和服務主體物件。

Type:	ManagementScopeIdParameter
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Online, Exchange Online Protection

-Delegating

委派參數會指定指派給角色的使用者或 USG 是否可以將角色委派給其他使用者或群組。 您不需要使用此參數指定值。

Type:	SwitchParameter
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection

-DomainController

此參數僅適用於內部部署 Exchange。

DomainController 參數會指定此 Cmdlet 用來向 Active Directory 讀取或寫入資料的網域控制站。 您可以透過網域控制站的完整網域名稱 (FQDN) 來識別網域控制站。 例如，dc01.contoso.com。

Type:	Fqdn
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-ExclusiveConfigWriteScope

此參數僅適用於內部部署 Exchange。

ExclusiveConfigWriteScope 參數會指定與新角色指派相關聯的專屬組態型管理範圍。 如果使用 ExclusiveConfigWriteScope 參數，便無法使用 CustomConfigWriteScope 參數。 如果範圍名稱包含空格，請以引號括住名稱 () 。

Type:	ManagementScopeIdParameter
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-ExclusiveRecipientWriteScope

ExclusiveRecipientWriteScope 參數會指定與新角色指派相關聯的獨佔收件者型管理範圍。 如果您使用 ExclusiveRecipientWriteScope 參數，則無法使用 CustomRecipientWriteScope 或 RecipientOrganizationalUnitScope 參數。 如果範圍名稱包含空格，請以引號括住名稱 () 。

Type:	ManagementScopeIdParameter
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection

-Force

此參數只能在雲端式服務中使用。

Force 參數會隱藏警告或確認訊息。 您不需要使用此參數指定值。

在不適合提示系統管理員輸入的場合中，您可以使用此參數來利用程式設計方式執行工作。

Type:	SwitchParameter
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Online, Exchange Online Protection

-Name

Name 參數會指定新管理角色指派的名稱。 該名稱的最大長度為 64 個字元。 如果管理角色指派名稱包含空格，請將名稱括在引號 (「) 。 如果您未指定名稱，則會自動建立名稱。

Type:	String
Position:	1
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection

-Policy

Policy 參數會指定要指派管理角色的管理角色指派原則名稱。 如果值包含空格，請使用引號 (") 括住值。

您使用 Role 參數指定之角色的 IsEndUserRole 屬性必須設定為 $true。

您無法搭配 App、SecurityGroup、Computer 或 User 參數使用此參數。

Type:	MailboxPolicyIdParameter
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection

-RecipientAdministrativeUnitScope

此參數只能在雲端式服務中運作。

RecipientAdministrativeUnitScope 參數會指定要將新角色指派範圍設定為範圍的管理單位。

管理單位是資源的 Azure Active Directory 容器。 您可以使用 Get-AdministrativeUnit Cmdlet 來檢視可用的管理單位。

Type:	AdministrativeUnitIdParameter
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection

-RecipientOrganizationalUnitScope

RecipientOrganizationalUnitScope 參數會指定新角色指派範圍的 OU。 如果您使用 RecipientOrganizationalUnitScope 參數，則無法使用 CustomRecipientWriteScope 或 ExclusiveRecipientWriteScope 參數。 若要指定 OU，請使用下列語法：domain/ou。 如果 OU 名稱包含空格，請使用引號 (") 括住網域和 OU。

Type:	OrganizationalUnitIdParameter
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection

-RecipientRelativeWriteScope

RecipientRelativeWriteScope 參數會指定要套用至收件者範圍的限制類型。 可用的類型為 None、Organization、MyGAL、Self 和 MyDistributionGroups。 當使用 CustomRecipientWriteScope 或 RecipientOrganizationalUnitScope 參數時，會自動設定 RecipientRelativeWriteScope 參數。

即使 NotApplicable、OU、MyDirectReports、CustomRecipientScope、MyExecutive、MailboxICanDelegate 和 ExclusiveRecipientScope 值出現在此參數的語法區塊中，但無法直接在命令列上使用。 Cmdlet 會在內部使用它們。

Type:	RecipientWriteScopeType
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection

-Role

Role 參數會指定要指派的現有角色。 您可以使用可唯一識別角色的任何值。 例如：

• 名稱
• 辨別名稱 (DN)
• GUID

如果值包含空格，請使用引號 (") 括住值。

如果您使用應用程式參數，則無法指定系統管理員或使用者角色;您只能指定應用程式角色 (例如「Application Mail.Read」) 。

Type:	RoleIdParameter
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	True
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection

-SecurityGroup

SecurityGroup 參數會指定要指派管理角色的管理角色群組或擁有郵件功能的通用安全性群組的名稱。 如果值包含空格，請使用引號 (") 括住值。

您無法將此參數與應用程式、原則、電腦或使用者參數搭配使用。

Type:	SecurityGroupIdParameter
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection

-UnScopedTopLevel

此參數僅適用於內部部署 Exchange。

根據預設，此參數僅適用于 UnScoped 角色管理角色，且該角色不會指派給任何角色群組。 若要使用此參數，您必須將 UnScoped 角色管理角色新增至角色群組 (例如，將 [組織管理] 角色群組) 。 如需詳細資訊，請 參閱將角色新增至角色群組。

UnScopedTopLevel 參數會指定 Role 參數所提供的角色是未限定範圍的最上層管理角色。 您不需要使用此參數指定值。

未限定範圍的最上層管理角色只能包含自訂腳本或非 Exchange Cmdlet。 如需詳細資訊，請 參閱建立未限定範圍的角色。

Type:	SwitchParameter
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-User

User 參數會指定要指派管理角色的使用者名稱或別名。 如果值包含空格，請使用引號 (") 括住值。

您無法搭配應用程式、SecurityGroup、電腦或原則參數使用此參數。

Type:	UserIdParameter
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection

-WhatIf

WhatIf 參數會模擬命令的動作。 使用此參數時，您不需要實際套用變更即可檢視可能會發生的變更。 您不需要使用此參數指定值。

Type:	SwitchParameter
Aliases:	wi
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection

輸入

Input types

若要查看此指令程式可接受的輸入類型，請參閱指令程式輸入和輸出類型。 如果指令程式的 [輸入類型] 欄位是空的，表示指令程式不接受輸入資料。

輸出

Output types

若要查看此指令程式可接受的傳回類型 (也就是所謂的輸出類型)，請參閱指令程式輸入和輸出類型。 如果 [輸出類型] 欄位是空的，表示指令程式不會傳回資料。