向用户或 USG 添加角色
**适用于:**Exchange Server 2010
**上一次修改主题:**2009-09-21
管理角色分配可以将管理角色分配给用户或通用安全性组 (USG)。通过将角色分配给用户或 USG,您可以使这些用户根据 cmdlet 或脚本以及其在管理角色上定义的参数来执行任务。
虽然可以将角色直接分配给用户和 USG,但向管理员和最终用户授予权限的建议方法是使用管理角色组和管理角色分配策略。使用角色组和分配策略时,可以显著简化权限模型。
如果要将角色分配给管理角色组或管理角色分配策略,请参阅下列主题:
如果要将成员添加到角色组或将角色分配策略分配给最终用户,请参阅下列主题:
有关详细信息,请参阅了解基于角色的访问控制。
备注
角色分配是累加的。这意味着,评估角色时,将一起添加所有角色。如果将两个角色分配给一个用户,并且一个角色包含 cmdlet 而另一个角色不包含,则 cmdlet 对于该用户仍然可用。
默认情况下,角色分配不能将角色分配给其他用户。若要使用户能够将角色分配给其他用户或 USG,请参阅委派角色分配。
必须使用 Exchange 命令行管理程序添加角色分配。
希望执行何种操作?
- 创建没有作用域的角色分配
- 创建带有预定义的相对作用域的角色分配
- 创建具有基于收件人筛选器的作用域的角色分配
- 创建具有基于服务器筛选器或基于服务器列表的配置作用域的角色分配
- 创建具有 OU 作用域的角色分配
- 创建具有独占收件人或配置作用域的角色分配
如果创建具有作用域的新分配,则该作用域将取代角色的隐式写入作用域。但是,角色的隐式读取作用域仍然适用。新作用域无法返回该角色的隐式读取作用域之外的对象。有关详细信息,请参阅了解管理角色作用域。
本主题中的所有步骤都使用 SecurityGroup 参数将角色分配给 USG。如果要将角色分配给特定用户,请使用 User 参数而不是 SecurityGroup 参数。每个命令的所有其他语法都相同。
创建没有作用域的角色分配
需要首先分配权限,然后才能执行此过程。若要查看所需的权限,请参阅角色管理权限主题中的“角色分配”条目。
可以创建没有作用域的角色分配。这样做时,角色的隐式读取和隐式写入作用域都适用。
使用以下语法将角色分配给没有任何作用域的 USG:
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name>
例如,若要将“Exchange Server”角色分配给 SeattleAdmins USG,请运行以下命令:
New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers"
创建带有预定义的相对作用域的角色分配
需要首先分配权限,然后才能执行此过程。若要查看所需的权限,请参阅角色管理权限主题中的“角色分配”条目。
如果预定义的相对作用域满足业务要求,可以将该作用域应用于角色分配,而不是创建自定义作用域。有关预定义作用域及其说明的列表,请参阅了解管理角色作用域。
使用以下语法将角色分配给具有预定义作用域的 USG:
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -RecipientRelativeWriteScope < MyDistributionGroups | Organization | Self >
例如,若要将“Exchange Server”角色分配给 SeattleAdmins USG 并应用 Organization 预定义作用域,请使用以下命令:
New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers" -RecipientRelativeWriteScope Organization
创建具有基于收件人筛选器的作用域的角色分配
需要首先分配权限,然后才能执行此过程。若要查看所需的权限,请参阅角色管理权限主题中的“角色分配”条目。
如果创建了基于收件人筛选器的作用域并要将其与角色分配一起使用,您需要使用 CustomRecipientWriteScope 参数将该作用域包含在用于将该角色分配给 USG 的命令中。如果使用 CustomRecipientWriteScope 参数,则不能使用 RecipientOrganizationalUnitScope 参数。
需要创建一个角色分配,然后才能向其添加作用域。有关详细信息,请参阅创建常规或独占作用域。
使用以下语法将角色分配给具有基于收件人筛选器的作用域的 USG:
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -CustomRecipientWriteScope <role scope name>
例如,若要将“邮件收件人”角色分配给“Seattle Recipient Admins”USG 并应用“Seattle Recipients”作用域,请运行以下命令:
New-ManagementRoleAssignment -Name "Mail Recipients_Seattle Recipient Admins" -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -CustomRecipientWriteScope "Seattle Recipients"
创建具有基于服务器筛选器或基于服务器列表的配置作用域的角色分配
需要首先分配权限,然后才能执行此过程。若要查看所需的权限,请参阅角色管理权限主题中的“角色分配”条目。
如果创建了基于服务器筛选器或基于服务器列表的配置作用域并将其与角色分配一起使用,您需要使用 CustomConfigWriteScope 参数将该作用域包含在用于将该角色分配给 USG 的命令中。
需要创建一个角色分配,然后才能向其添加作用域。有关详细信息,请参阅创建常规或独占作用域。
使用以下语法将角色分配给具有配置作用域的 USG 中:
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -CustomConfigWriteScope <role scope name>
例如,若要将“Exchange Servers”角色分配给 MailboxAdmins USG 并应用“邮箱服务器”作用域,请运行以下命令:
New-ManagementRoleAssignment -Name "Exchange Servers_MailboxAdmins" -SecurityGroup MailboxAdmins -Role "Exchange Servers" -CustomConfigWriteScope "Mailbox Servers"
创建具有 OU 作用域的角色分配
需要首先分配权限,然后才能执行此过程。若要查看所需的权限,请参阅角色管理权限主题中的“角色分配”条目。
如果要将角色的写入作用域扩展到组织单位 (OU),可以在 RecipientOrganizationalUnitScope 参数中直接指定 OU。如果使用 RecipientOrganizationalUnitScope 参数,则不能使用 CustomRecipientWriteScope 参数。
使用以下命令将角色分配给 USG 并将角色的写入作用域限制为特定 OU:
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -RecipientOrganizationalUnitScope <OU>
例如,若要将“邮件收件人”角色分配给 SalesRecipientAdmins USG 并将分配扩展到 contoso.com 域中的销售\用户 OU,请使用以下命令:
New-ManagementRoleAssignment -Name "Mail Recipients_SalesRecipientAdmins" -SecurityGroup SalesRecipientAdmins -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users
创建具有独占收件人或配置作用域的角色分配
需要首先分配权限,然后才能执行此过程。若要查看所需的权限,请参阅角色管理权限主题中的“角色分配”条目。
若要创建具有独占收件人或配置作用域的互斥角色分配,可以使用创建具有基于收件人筛选器的作用域的角色分配和创建具有基于服务器筛选器或基于服务器列表的配置作用域的角色分配部分中提供的相同步骤。唯一的区别是,创建具有独占作用域的角色分配时,您必须根据使用的是独占收件人作用域还是独占配置作用域指定下列独占参数:
- 独占收件人作用域 使用 ExclusiveRecipientWriteScope 参数代替 CustomRecipientWriteScope 参数。
- 独占配置作用域 使用 ExclusiveConfigWriteScope 参数代替 CustomConfigWriteScope 参数。
执行此步骤时,分配此角色的角色代理人可以针对独占作用域中包含的对象执行操作。有关独占作用域的详细信息,请参阅了解独占作用域。
不能创建同时具有互斥作用域和常规作用域的角色分配。
例如,若要将“邮件收件人”角色分配给“受保护的用户管理”USG 并应用“受保护的用户”独占作用域,请运行以下命令:
New-ManagementRoleAssignment -Name "Mail Recipients_Protected User Admins" -SecurityGroup "Protected User Admins" -Role "Mail Recipients" -ExclusiveRecipientWriteScope "Protected Users"