Agregar una función a un usuario o grupo de seguridad universal

Artículo
05/20/2011

Se aplica a: Exchange Server 2010

Última modificación del tema: 2009-09-21

Las asignaciones de funciones de administración pueden asignar una función a un usuario o un grupo de seguridad universal. Al asignar una función a un usuario o un grupo de seguridad universal, esos usuarios pueden efectuar tareas conforme a los cmdlets o las secuencias de comandos y sus parámetros que estén definidos en la función de administración.

Si bien se puede asignar funciones directamente a usuarios y a grupos de seguridad universal, el método recomendado de otorgar permisos a administradores y usuarios finales es emplear grupos de funciones de administración y directivas de asignación de funciones de administración. Si usa grupos de funciones y directivas de asignación, el modelo de permisos se simplifica considerablemente.

Si desea asignar funciones a un grupo de funciones de administración o a una directiva de asignación de funciones de administración, consulte los temas siguientes:

Si desea agregar miembros a un grupo de funciones de administración o asignar una directiva de asignación de funciones a un usuario final, consulte los temas siguientes:

Para obtener más información, consulte Descripción del control de acceso basado en funciones.

Nota

Las asignaciones de funciones son de adición. Eso significa que todas las funciones se agregan a la vez cuando se evalúan. Si se asignan dos funciones a un usuario y una función contiene un cmdlet y la otra no, el usuario puede seguir disponiendo del cmdlet.
De forma predeterminada, las asignaciones de funciones no otorgan la capacidad de asignar funciones a otros usuarios. Para que un usuario pueda asignar funciones a otros usuarios o grupos de seguridad universal, consulte Delegar asignaciones de funciones.

Debe usar Shell para agregar una asignación de función.

¿Qué desea hacer?

Creación una asignación de función sin ámbito
Creación una asignación de función con un ámbito relativo predefinido
Creación una asignación de función con un ámbito basado en filtro
Creación una asignación de función con un ámbito de configuración basado en lista o de filtro de servidor
Creación una asignación de función con un ámbito de unidad organizativa
Creación una asignación de función con un ámbito de configuración o de destinatario exclusivo

Si crea una nueva asignación con un ámbito, el ámbito anula el ámbito de escritura implícito de la función. Sin embargo, el ámbito de lectura implícito de la función sigue vigente. El ámbito nuevo no puede devolver objetos que están fuera del ámbito de lectura implícito de la función. Para obtener más información, consulte Descripción de los ámbitos de roles de administración.

Todos los procedimientos de este tema usan el parámetro SecurityGroup para asignar funciones a un grupo de seguridad universal. Si, en lugar de eso, desea asignar la función a un determinado usuario, use el parámetroUser en lugar del parámetro SecurityGroup. El resto de la sintaxis para cada comando es el mismo.

Creación una asignación de función sin ámbito

Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento. Para ver qué permisos necesita, consulte el Entrada "Asignaciones de funciones" en el tema Permisos de administración de funciones.

Puede crear una asignación de función sin ámbito. Al hacer esto, se aplican los ámbitos implícitos de lectura y escritura de la función.

Use la sintaxis siguiente para asignar una función sin ámbito a un grupo de seguridad universal:

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name>

Por ejemplo, para asignar la función Servidores de Exchange Servers al grupo de seguridad universal SeattleAdmins, ejecute el comando siguiente:

New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers"

Creación una asignación de función con un ámbito relativo predefinido

Si un ámbito relativo predefinido se adecua a los requisitos de negocios, puede aplicarlo a la asignación de función en vez de crear un ámbito personalizado. Para obtener una lista de los ámbitos predefinidos y sus descripciones, consulte Descripción de los ámbitos de roles de administración.

Use la sintaxis siguiente para asignar una función con un ámbito predefinido a un grupo de seguridad universal:

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -RecipientRelativeWriteScope < MyDistributionGroups | Organization | Self >

Por ejemplo, para asignar la función Servidores de Exchange al grupo de seguridad universal SeattleAdmins y aplicar el ámbito predefinido Organization, ejecute el comando siguiente:

New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers" -RecipientRelativeWriteScope Organization

Creación una asignación de función con un ámbito basado en filtro

Si crea un ámbito basado en filtro de destinatarios y lo va a usar con una asignación de función, debe incluir el ámbito en el comando que se aplica para asignar la función a un grupo de seguridad universal mediante el parámetro CustomRecipientWriteScope. Si usa el parámetro CustomRecipientWriteScope, no puede usar el parámetro RecipientOrganizationalUnitScope.

Antes de poder agregar un ámbito a una asignación de funciones, debe crear uno. Para obtener más información, consulte Crear un ámbito regular o exclusivo.

Use la sintaxis siguiente para asignar una función con un ámbito basado en filtro de destinatarios a un grupo de seguridad universal:

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -CustomRecipientWriteScope <role scope name>

Por ejemplo, para asignar la función Destinatario de correo al grupo de seguridad universal Seattle Recipient Admins y aplicar el ámbito Destinatarios de Seattle, ejecute el comando siguiente:

New-ManagementRoleAssignment -Name "Mail Recipients_Seattle Recipient Admins" -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -CustomRecipientWriteScope "Seattle Recipients"

Creación una asignación de función con un ámbito de configuración basado en lista o de filtro de servidor

Si crea un ámbito de configuración basado en lista o de filtro de servidores y lo va a usar con una asignación de función, debe incluir el ámbito en el comando que se aplica para asignar la función a un grupo de seguridad universal mediante el parámetro CustomConfigWriteScope.

Antes de poder agregar un ámbito a una asignación de funciones, debe crear uno. Para obtener más información, consulte Crear un ámbito regular o exclusivo.

Use la sintaxis siguiente para asignar una función con un ámbito de configuración a un grupo de seguridad universal:

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -CustomConfigWriteScope <role scope name>

Por ejemplo, para asignar la función Servidores de Exchange al grupo de seguridad universal MailboxAdmins y aplicar el ámbito Servidores de buzón de correo, ejecute el comando siguiente:

New-ManagementRoleAssignment -Name "Exchange Servers_MailboxAdmins" -SecurityGroup MailboxAdmins -Role "Exchange Servers" -CustomConfigWriteScope "Mailbox Servers"

Creación una asignación de función con un ámbito de unidad organizativa

Si desea asignar un ámbito de escritura a una unidad organizativa, puede especificar la unidad organizativa directamente en el parámetro RecipientOrganizationalUnitScope. Si usa el parámetro RecipientOrganizationalUnitScope, no puede usar el parámetro CustomRecipientWriteScope.

Use el comando siguiente para asignar una función a un grupo de seguridad universal y restringir el ámbito de escritura de una función a una determinada unidad organizativa:

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -RecipientOrganizationalUnitScope <OU>

Por ejemplo, para asignar la función Destinatarios de correo al grupo de seguridad universal SalesRecipientAdmins y aplicar la asignación al ámbito de unidad organizativa Ventas\Usuarios del dominio contoso.com, ejecute el comando siguiente:

New-ManagementRoleAssignment -Name "Mail Recipients_SalesRecipientAdmins" -SecurityGroup SalesRecipientAdmins -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users

Creación una asignación de función con un ámbito de configuración o de destinatario exclusivo

Para crear una asignación de función con un ámbito de configuración o de destinatario exclusivo, puede usar los mismos procedimientos indicados en las secciones Creación una asignación de función con un ámbito basado en filtro y Creación una asignación de función con un ámbito de configuración basado en lista o de filtro de servidor. La única diferencia estriba en que, al crear una función con un ámbito exclusivo, debe especificar los parámetros exclusivos siguientes en función de si se usa un parámetro de configuración exclusivo o uno de destinatario exclusivo:

Ámbitos exclusivos de destinatarios Use el parámetro ExclusiveRecipientWriteScope en lugar del parámetro CustomRecipientWriteScope.
Ámbitos exclusivos de configuración Use el parámetro ExclusiveConfigWriteScope en lugar del parámetro CustomConfigWriteScope.

Al efectuar este procedimiento, los usuario a los que se asigna la función pueden realizar acciones respecto a los objetos que se incluyen en el ámbito exclusivo. Para obtener más información sobre los ámbitos exclusivos, consulte Descripción de ámbitos exclusivos.

No se puede crear una asignación de función con ámbitos exclusivos y normales.

Por ejemplo, para asignar la función Destinatarios de correo al grupo de seguridad universal Protected User Admins y aplicar el ámbito exclusivo Usuario protegidos, ejecute el comando siguiente:

New-ManagementRoleAssignment -Name "Mail Recipients_Protected User Admins" -SecurityGroup "Protected User Admins" -Role "Mail Recipients" -ExclusiveRecipientWriteScope "Protected Users"