建立鏡像內建角色群組的連結角色群組
適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上次修改主題的時間: 2012-07-23
在 Microsoft Exchange Server 2010 中使用連結的管理角色群組,即可使用外部使用者樹系的通用安全性群組 (USG) 連結 Exchange 2010 資源樹系的角色群組。當您想讓使用者樹系中的帳戶系統管理員管理在資源樹系中執行 Exchange 的伺服器時,這很實用。如需連結的角色群組的詳細資訊,請參閱了解管理角色群組。
根據預設,Exchange 2010 包含許多供您管理多種功能及工作函數之權限的內建角色群組。每個角色群組都是依據提供每種功能及工作函數之特定權限的需求來加以調整。但是,這些角色群組無法連結到外部樹系的 USG。它們只能包含本機資源樹系的使用者及 USG。幸好還可使用連結的角色群組複寫這些內建角色群組。
您可以將每個內建角色群組重新建立為連結的角色群組。會將指派到每個角色群組的所有管理角色及管理範圍新增至新連結的角色群組。如需管理角色及範圍的詳細資訊,請參閱下列主題:
要尋找與角色群組相關的其他管理工作嗎?請參閱管理系統管理員和專家使用者。
必要條件
在連結角色群組所在的資源 Active Directory 樹系及使用者或 USG 所在的外部 Active Directory 樹系間必須有單向信任,才能設定連結角色群組。資源樹系必須信任外部樹系。
您必須具有下列關於外部 Active Directory 樹系的資訊:
認證 您必須擁有可以存取外部 Active Directory 樹系的使用者名稱和密碼。此資訊會與 New-RoleGroup Cmdlet 上的 LinkedCredential 參數一起使用。此資訊是藉由執行 Get-Credential Cmdlet 所取得。使用者名稱的格式為 網域\使用者名稱。
網域控制站 您必須擁有外部 Active Directory 樹系中 Active Directory 網域控制站的完整網域名稱 (FQDN)。此資訊會與 New-RoleGroup Cmdlet 上的 LinkedDomainController 參數一起使用。
外部 USG 您必須擁有外部 Active Directory 樹系中 USG 的完整名稱,該 USG 包含要與連結的角色群組產生關聯的成員。此資訊會與 New-RoleGroup Cmdlet 上的 LinkedForeignGroup 參數一起使用。
使用命令介面可建立複寫內建角色群組的連結角色群組
您必須已獲指派權限,才能執行此程序。若要查看您需要的權限,請參閱角色管理權限主題中的「角色群組」項目。
附註: |
---|
無法使用 EMC 建立複寫內建角色群組的連結角色群組。 |
以下每節顯示如何將每個角色群組重新建立為連結角色群組。請完成每節中的程序以將所有內建角色群組重新建立爲連結角色群組。
建立組織管理的連結角色群組
若要將 組織管理 角色群組重新建立為連結角色群組,請執行相異於重新建立其他內建角色群組所用的程序。這是因爲 組織管理 角色群組本身及所有管理角色之間有委派角色指派。重新建立委派角色指派必須採用其他步驟。
建立要連結至 組織管理 角色群組的外部樹系 USG。
以變數儲存外部 Active Directory 樹系認證。
$ForeignCredential = Get-Credential
透過變數儲存指派至 組織管理 角色群組的所有角色。
$OrgMgmt = Get-RoleGroup "Organization Management"
建立 組織管理 連結角色群組,並新增指派至內建 組織管理 角色群組的角色。
New-RoleGroup "Organization Management - Linked" -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign ExADNoMk domain controller> -LinkedCredential $ForeignCredential -Roles $OrgMgmt.Roles
移除新 組織管理 連結角色群組及 My* 一般使用者角色之間的所有一般指派。
Get-ManagementRoleAssignment -RoleAssignee "Organization Management - Linked" -Role My* | Remove-ManagementRoleAssignment
新增新 組織管理 連結角色群組及所有管理角色間的委派角色指派。
Get-ManagementRole | New-ManagementRoleAssignment -SecurityGroup "Organization Management - Linked" -Delegating
此範例假設下列值用於每個參數:
LinkedForeignGroup
Organization Management Administrators
LinkedDomainController
DC01.users.contoso.com
此範例使用前值來將 組織管理 角色群組重新建立為連結角色群組。
$ForeignCredential = Get-Credential
$OrgMgmt = Get-RoleGroup "Organization Management"
New-RoleGroup "Organization Management - Linked" -LinkedForeignGroup "Organization Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $OrgMgmt.Roles
Get-ManagementRoleAssignment -RoleAssignee "Organization Management - Linked" -Role My* | Remove-ManagementRoleAssignment
Get-ManagementRole | New-ManagementRoleAssignment -SecurityGroup "Organization Management - Linked" -Delegating
建立所有其他連結的角色群組
若要將內建角色群組 (除了 組織管理 角色群組以外) 重新建立為連結的角色群組,請對每個群組執行以下程序。
爲每個角色群組建立連結至每個新角色群組的外部樹系 USG。
以變數儲存外部 Active Directory 樹系認證。您只需執行這項操作一次。
$ForeignCredential = Get-Credential
擷取使用下列 Cmdlet 的角色群組清單。
Get-RoleGroup
針對 組織管理 角色群組以外的每個角色群組,請執行下列作業。
$RoleGroup = Get-RoleGroup <name of role group to re-create> New-RoleGroup "<role group name> - Linked" -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles
針對想重新建立為連結角色群組的每個內建角色群組,重複先前步驟。
此範例假設下列值用於每個參數:
LinkedDomainController
DC01.users.contoso.com
要重新建立為連結角色群組的內建角色群組
Recipient Management, Server Management
收件者管理連結角色群組的外部群組
Recipient Management Administrators
伺服器管理連結角色群組的外部群組
Server Management Administrators
此範例使用前值來將 收件者管理 及「伺服器管理」角色群組重新建立為連結角色群組。
$ForeignCredential = Get-Credential
Get-RoleGroup
$RoleGroup = Get-RoleGroup "Recipient Management"
New-RoleGroup "Recipient Management - Linked" -LinkedForeignGroup "Recipient Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles
$RoleGroup = Get-RoleGroup "Server Management"
New-RoleGroup "Server Management - Linked" -LinkedForeignGroup "Server Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles
其他工作
在建立連結角色群組之後,您可能還想要:
新增成員到外部樹系中使用 Active Directory 使用者及電腦的外部 USG。
移除內建角色群組的成員。如需相關資訊,請參閱移除角色群組的成員。
將其他角色新增至新的連結角色群組。如需相關資訊,請參閱將角色新增至角色群組。
移除新連結角色群組中的角色。如需相關資訊,請參閱移除角色群組中的角色。
變更新連結角色群組及管理角色之間的角色指派範圍。如需相關資訊,請參閱變更角色群組中角色指派的範圍。
建立其他連結的角色群組。如需相關資訊,請參閱建立連結的角色群組。
© 2010 Microsoft Corporation. 著作權所有,並保留一切權利。