將角色新增至使用者或 USG
適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上次修改主題的時間: 2012-07-23
管理角色指派可以將管理角色指派給使用者或萬用安全性群組 (USG)。透過將角色指派給使用者或 USG,您可以讓這些使用者根據指令程式或指令碼及他們在管理角色上定義的參數來執行工作。
雖然您可以直接將角色指派給使用者和 USG,但建議使用管理角色群組和管理角色指派原則來授與權限給系統管理員和使用者。使用角色群組和指派原則可以簡化您的權限模型。
如果您要將角色指派給管理角色群組或管理角色指派原則,請參閱下列主題:
如果您要將成員新增至角色群組或將角色指派原則指派給使用者,請參閱下列主題:
如需相關資訊,請參閱瞭解應用角色的存取控制。
.gif "注意事項") 附註: |
|---|
| 角色指派是附加的。這表示所有角色經過評估之後會一起新增。如果將兩個角色指派給使用者,而其中一個角色包含指令程式,但另一個不含該指令程式,則使用者仍然可以使用該指令程式。 角色指派預設不會授與指派角色給其他使用者的權限。若要讓使用者能夠指派角色給其他使用者或 USG,請參閱委派角色指派。 |
您必須使用命令介面來新增角色指派。
如果您建立含有範圍的指派,則該範圍會覆寫角色的隱含寫入範圍。不過,角色的隱含讀取範圍仍然適用。新的範圍無法傳回在角色的隱含讀取範圍之外的物件。如需相關資訊,請參閱瞭解管理角色範圍。
本主題中的所有程序都使用 SecurityGroup 參數來指派角色給 USG。如果想要將角色指派給特定的使用者,請使用 User 參數來代替 SecurityGroup 參數。每一個指令的其他所有語法都一樣。
要尋找與角色相關的其他管理工作嗎?請參閱管理進階權限。
建立沒有範圍的角色指派
您必須已獲指派權限,才能執行此程序。若要查看您需要的權限,請參閱角色管理權限主題中的「角色指派」項目。
| 附註: |
|---|
| 您不能使用 EMC 來建立不具有範圍的角色指派。 |
您可以建立沒有範圍的角色指派。如果您這樣做,則會套用角色的隱含讀取和隱含寫入範圍。
使用下列語法來指派角色給 USG 且不使用任何範圍。
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name>
這個範例會將 Exchange Server 角色指派給 SeattleAdmins USG。
New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers"
如需詳細的語法及參數資訊,請參閱 New-ManagementRoleAssignment。
使用預先定義的相對範圍建立角色指派
您必須已獲指派權限,才能執行此程序。若要查看您需要的權限,請參閱角色管理權限主題中的「角色指派」項目。
| 附註: |
|---|
| 您不能使用 EMC 來建立具有預先定義相對範圍的角色指派。 |
如果預先定義的相對範圍符合您的商業需求,您可以將該範圍套用至角色指派,而不必建立自訂的範圍。如需預先定義之範圍的清單及其描述,請參閱瞭解管理角色範圍。
使用下列語法來指派角色給 USG,並使用預先定義的範圍。
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -RecipientRelativeWriteScope < MyDistributionGroups | Organization | Self >
這個範例會將 Exchange Server 角色指派給 SeattleAdmins USG,並套用「組織」預先定義範圍。
New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers" -RecipientRelativeWriteScope Organization
如需詳細的語法及參數資訊,請參閱 New-ManagementRoleAssignment。
使用以收件者篩選器為基礎的範圍建立角色指派
您必須已獲指派權限,才能執行此程序。若要查看您需要的權限,請參閱角色管理權限主題中的「角色指派」項目。
| 附註: |
|---|
| 您不能使用 EMC 來建立具有以收件者篩選器為基礎之範圍的角色指派。 |
如果建立以收件者篩選器為基礎的範圍,且想要將此範圍用於角色指派,則在用於指派角色給 USG 的命令中,您必須使用 CustomRecipientWriteScope 參數來包含該範圍。如果使用 CustomRecipientWriteScope 參數,便無法使用 RecipientOrganizationalUnitScope 參數。
您必須先建立範圍,才能將範圍新增至角色指派。如需相關資訊,請參閱建立一般或獨佔範圍。
使用下列語法來指派角色給 USG,並使用以收件者篩選器為基礎的範圍。
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -CustomRecipientWriteScope <role scope name>
這個範例會將 Mail Recipients 角色指派給 Seattle Recipient Admins USG,並套用 Seattle Recipients 範圍。
New-ManagementRoleAssignment -Name "Mail Recipients_Seattle Recipient Admins" -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -CustomRecipientWriteScope "Seattle Recipients"
如需詳細的語法及參數資訊,請參閱 New-ManagementRoleAssignment。
使用伺服器或資料庫篩選器,或以清單為基礎的組態範圍建立角色指派
您必須已獲指派權限,才能執行此程序。若要查看您需要的權限,請參閱角色管理權限主題中的「角色指派」項目。
| 附註: |
|---|
| 您不能使用 EMC 來建立具有伺服器或資料庫篩選器,或以清單為基礎之組態範圍的角色指派。 |
如果您建立伺服器或資料庫篩選器,或以清單為基礎的組態範圍,且想要將此範圍用於角色指派,則在用於指派角色給 USG 的命令中,您必須使用 CustomConfigWriteScope 參數來包含該範圍。
您必須先建立範圍,才能將範圍新增至角色指派。如需詳細資訊,請參閱建立一般或獨佔範圍。
使用下列語法來指派角色給 USG,並使用組態範圍。
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -CustomConfigWriteScope <role scope name>
這個範例會將 Exchange Server 角色指派給 MailboxAdmins USG,並套用「信箱伺服器」範圍。
New-ManagementRoleAssignment -Name "Exchange Servers_MailboxAdmins" -SecurityGroup MailboxAdmins -Role "Exchange Servers" -CustomConfigWriteScope "Mailbox Servers"
前面的範例會告訴您如何以伺服器組態範圍新增角色指派。新增資料庫組態範圍的語法是相同的。您會指定資料庫範圍的名稱,而不是伺服器範圍的名稱。
如需詳細的語法及參數資訊,請參閱 New-ManagementRoleAssignment。
建立具有 OU 範圍的角色指派
您必須已獲指派權限,才能執行此程序。若要查看您需要的權限,請參閱角色管理權限主題中的「角色指派」項目。
| 附註: |
|---|
| 您不能使用 EMC 來建立具有組織單位 (OU) 範圍的角色指派。 |
如果您要將角色的寫入範圍設為某個 OU,您可以直接在 RecipientOrganizationalUnitScope 參數中指定該 OU。如果使用 RecipientOrganizationalUnitScope 參數,便無法使用 CustomRecipientWriteScope 參數。
使用下列語法來指派角色給 USG,並將角色的寫入範圍限制為特定的 OU。
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -RecipientOrganizationalUnitScope <OU>
這個範例會將 Mail Recipients 角色指派給 SalesRecipientAdmins USG,並將指派的範圍設定為 contoso.com 網域中的 sales/users OU。
New-ManagementRoleAssignment -Name "Mail Recipients_SalesRecipientAdmins" -SecurityGroup SalesRecipientAdmins -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users
如需詳細的語法及參數資訊,請參閱 New-ManagementRoleAssignment。
建立具有獨佔收件者或組態範圍的角色指派
您必須已獲指派權限,才能執行此程序。若要查看您需要的權限,請參閱角色管理權限主題中的「角色指派」項目。
| 附註: |
|---|
| 您不能使用 EMC 來建立具有獨佔收件者或組態範圍的角色指派。 |
若要建立具有獨佔收件者或組態範圍的獨佔角色指派,您可以使用Create a role assignment with a recipient filter-based scope和Create a role assignment with a server or database filter or list-based configuration scope這兩節所提供的相同程序。唯一的差別在於當您建立具有獨佔範圍的角色指派時,根據您使用獨佔收件者範圍還是獨佔組態範圍而定,您必須指定下列獨佔參數:
獨佔收件者範圍 使用 ExclusiveRecipientWriteScope 參數,而非 CustomRecipientWriteScope 參數。
獨佔組態範圍 使用 ExclusiveConfigWriteScope 參數,而非 CustomConfigWriteScope 參數。
當您執行此程序時,指派角色的角色受託人可以對獨佔範圍中包含的物件執行動作。如需獨佔範圍的相關資訊,請參閱 了解獨佔範圍。
您不能建立同時具有獨佔範圍和標準範圍的角色指派。
這個範例會將 Mail Recipients 角色指派給 Protected User Admins USG,並套用 Protected Users 獨佔範圍。
New-ManagementRoleAssignment -Name "Mail Recipients_Protected User Admins" -SecurityGroup "Protected User Admins" -Role "Mail Recipients" -ExclusiveRecipientWriteScope "Protected Users"
如需詳細的語法及參數資訊,請參閱 New-ManagementRoleAssignment。
© 2010 Microsoft Corporation. 著作權所有,並保留一切權利。