Condividi tramite

Aggiunta di un ruolo ad un utente o a un gruppo di protezione universale

  • Articolo

Si applica a: Exchange Server 2010

Ultima modifica dell'argomento: 2009-09-21

Le assegnazioni del ruolo di gestione consentono di assegnare un ruolo di gestione a un utente o a un gruppo di protezione universale (USG, Universal Security Group). Assegnando un ruolo a un utente o a un gruppo di protezione universale, gli utenti possono eseguire attività dipendenti dai cmdlet o dagli script e dai relativi parametri definiti nel ruolo di gestione.

Anche se è possibile assegnare direttamente i ruoli agli utenti e ai gruppi di protezione universali, per concedere le autorizzazioni agli amministratori e agli utenti finali è consigliabile utilizzare i gruppi di ruoli di gestione e i criteri di assegnazione del ruolo di gestione. Se si utilizzano i gruppi di ruolo e i criteri di assegnazione il modello di autorizzazioni risulterà notevolmente semplificato.

Per assegnare ruoli a un gruppo di ruoli di gestione o a un criterio di assegnazione del ruolo di gestione, vedere i seguenti argomenti:

Per aggiungere membri a un gruppo di ruolo o assegnare un criterio di assegnazione del ruolo a un utente finale, vedere i seguenti argomenti:

Per ulteriori informazioni, vedere Informazioni sul controllo di accesso basato sui ruoli.

Nota

Le assegnazioni dei ruoli si possono sommare. In pratica, tutti i ruoli vengono sommati in fase di valutazione. Se a un utente sono assegnati due ruoli e uno di questi contiene un cmdlet, a differenza dell'altro, il cmdlet è tuttora a disposizione dell'utente.
Per impostazione predefinita, le assegnazioni di ruolo non concedono la capacità di assegnare ruoli ad altri utenti. Per consentire a un utente di assegnare ruoli ad altri utenti o gruppi di protezione universali, vedere Assegnazioni del ruolo delegato.

È necessario utilizzare Exchange Management Shell per aggiungere un'assegnazione di ruolo.

Operazione desiderata

  • Creazione di un'assegnazione di ruolo priva di ambito
  • Creazione di un'assegnazione di ruolo con un ambito relativo definito in precedenza
  • Creazione di un'assegnazione di ruolo con un ambito basato su un filtro destinatari
  • Creazione di un'assegnazione di ruolo con un ambito di configurazione basato su un elenco o su un filtro server
  • Creazione di un'assegnazione di ruolo con un ambito OU
  • Creazione di un'assegnazione di ruolo con un ambito di configurazione o destinatario esclusivo

Se si crea una nuova assegnazione con un ambito, questo sostituisce l'ambito di scrittura implicito del ruolo. L'ambito di lettura implicito del ruolo viene comunque applicato. Il nuovo ambito non è in grado di restituire oggetti esterni all'ambito di lettura implicito del ruolo. Per ulteriori informazioni, vedere Informazioni sugli ambiti del ruolo di gestione.

Tutte le procedure in questo argomento utilizzano il parametro SecurityGroup per assegnare i ruoli a un gruppo di protezione universale. Se invece si desidera assegnare il ruolo a un utente specifico, utilizzare il parametro User al posto del parametro SecurityGroup. La sintassi per ciascun comando è la stessa.

Creazione di un'assegnazione di ruolo priva di ambito

È necessario assegnare le autorizzazioni prima di poter eseguire questo cmdlet. Per visualizzare quali autorizzazioni sono necessarie, vedere "Assegnazioni ruolo" nell'argomento Autorizzazioni per la gestione del ruolo.

È possibile creare un'assegnazione di ruolo senza alcun ambito. Quando si esegue questa operazione, vengono applicati gli ambiti di scrittura e di lettura impliciti del ruolo.

Utilizzare la seguente sintassi per assegnare un ruolo a un gruppo di protezione universale senza alcun ambito:

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name>

Ad esempio, per assegnare il ruolo "Exchange Servers" al gruppo di protezione universale SeattleAdmins, eseguire il comando seguente:

New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers"

Creazione di un'assegnazione di ruolo con un ambito relativo definito in precedenza

È necessario assegnare le autorizzazioni prima di poter eseguire questo cmdlet. Per visualizzare quali autorizzazioni sono necessarie, vedere "Assegnazioni ruolo" nell'argomento Autorizzazioni per la gestione del ruolo.

Se un ambito relativo definito in precedenza consente di soddisfare i requisiti aziendali, è possibile applicare tale ambito all'assegnazione di ruolo, senza creare un ambito personalizzato. Per un elenco degli ambiti definiti in precedenza con le relative descrizioni, vedere Informazioni sugli ambiti del ruolo di gestione.

Utilizzare la seguente sintassi per assegnare un ruolo a un gruppo di protezione universale con un ambito definito in precedenza:

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -RecipientRelativeWriteScope < MyDistributionGroups | Organization | Self >

Ad esempio, per assegnare il ruolo "Exchange Servers" al gruppo di protezione universale SeattleAdmins e applicare l'ambito definito Organization, eseguire il comando seguente:

New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers" -RecipientRelativeWriteScope Organization

Creazione di un'assegnazione di ruolo con un ambito basato su un filtro destinatari

È necessario assegnare le autorizzazioni prima di poter eseguire questo cmdlet. Per visualizzare quali autorizzazioni sono necessarie, vedere "Assegnazioni ruolo" nell'argomento Autorizzazioni per la gestione del ruolo.

Se è stato creato un ambito basato su un filtro destinatari e si desidera utilizzarlo con un'assegnazione di ruolo, è necessario includere l'ambito nel comando utilizzato per assegnare il ruolo al un gruppo di protezione universale utilizzando il parametro CustomRecipientWriteScope. Se si utilizza il parametro CustomRecipientWriteScope, non è possibile utilizzare il parametro RecipientOrganizationalUnitScope.

Prima di poter aggiungere un ambito ad un'assegnazione del ruolo, è necessario crearne uno. Per ulteriori informazioni, vedere Creazione di un ambito normale o esclusivo.

Utilizzare la seguente sintassi per assegnare un ruolo a un gruppo di protezione universale con un ambito basato su un filtro destinatari:

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -CustomRecipientWriteScope <role scope name>

Ad esempio, per assegnare il ruolo "Mail Recipients" al gruppo di protezione universale "Seattle Recipient Admins" e applicare l'ambito "Seattle Recipients", eseguire il comando seguente:

New-ManagementRoleAssignment -Name "Mail Recipients_Seattle Recipient Admins" -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -CustomRecipientWriteScope "Seattle Recipients"

Creazione di un'assegnazione di ruolo con un ambito di configurazione basato su un elenco o su un filtro server

È necessario assegnare le autorizzazioni prima di poter eseguire questo cmdlet. Per visualizzare quali autorizzazioni sono necessarie, vedere "Assegnazioni ruolo" nell'argomento Autorizzazioni per la gestione del ruolo.

Se è stato creato un ambito basato su un elenco o su un filtro server e si desidera utilizzarlo con un'assegnazione di ruolo, è necessario includere l'ambito nel comando utilizzato per assegnare il ruolo al un gruppo di protezione universale utilizzando il parametro CustomConfigWriteScope.

Prima di poter aggiungere un ambito ad un'assegnazione del ruolo, è necessario crearne uno. Per ulteriori informazioni, vedere Creazione di un ambito normale o esclusivo.

Utilizzare la seguente sintassi per assegnare un ruolo a un gruppo di protezione universale con un ambito di configurazione:

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -CustomConfigWriteScope <role scope name>

Ad esempio, per assegnare il ruolo "Exchange Servers" al gruppo di protezione universale MailboxAdmins e applicare l'ambito "Mailbox Servers", eseguire il comando seguente:

New-ManagementRoleAssignment -Name "Exchange Servers_MailboxAdmins" -SecurityGroup MailboxAdmins -Role "Exchange Servers" -CustomConfigWriteScope "Mailbox Servers"

Creazione di un'assegnazione di ruolo con un ambito OU

È necessario assegnare le autorizzazioni prima di poter eseguire questo cmdlet. Per visualizzare quali autorizzazioni sono necessarie, vedere "Assegnazioni ruolo" nell'argomento Autorizzazioni per la gestione del ruolo.

Se si desidera applicare l'ambito di scrittura di un ruolo a un'unità organizzativa (OU), è possibile specificare l'unità organizzativa direttamente nel parametro RecipientOrganizationalUnitScope. Se si utilizza il parametro RecipientOrganizationalUnitScope, non è possibile utilizzare il parametro CustomRecipientWriteScope.

Utilizzare il seguente comando per assegnare un ruolo a un gruppo di protezione universale e limitare l'ambito di scrittura del ruolo a un'unità organizzativa specifica:

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -RecipientOrganizationalUnitScope <OU>

Ad esempio, per assegnare il ruolo "Mail Recipients" al gruppo di protezione universale SalesRecipientAdmins e applicare l'ambito dell'assegnazione all'unità organizzativa Sales\Users nel dominio contoso.com, eseguire il comando seguente:

New-ManagementRoleAssignment -Name "Mail Recipients_SalesRecipientAdmins" -SecurityGroup SalesRecipientAdmins -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users

Creazione di un'assegnazione di ruolo con un ambito di configurazione o destinatario esclusivo

È necessario assegnare le autorizzazioni prima di poter eseguire questo cmdlet. Per visualizzare quali autorizzazioni sono necessarie, vedere "Assegnazioni ruolo" nell'argomento Autorizzazioni per la gestione del ruolo.

Per creare un'assegnazione di ruolo esclusiva con un ambito di configurazione o destinatario esclusivo, è possibile utilizzare le procedure descritte nelle sezioni Creazione di un'assegnazione di ruolo con un ambito basato su un filtro destinatari e Creazione di un'assegnazione di ruolo con un ambito di configurazione basato su un elenco o su un filtro server. L'unica differenza nella creazione di un'assegnazione di ruolo con un ambito esclusivo riguarda la necessità di specificare i seguenti parametri esclusivi, valutando se si utilizza un ambito destinatario esclusivo o un ambito di configurazione esclusivo:

  • Ambiti esclusivi dei destinatari   Utilizzare il parametro ExclusiveRecipientWriteScope, invece del parametro CustomRecipientWriteScope.
  • Ambiti esclusivi della configurazione   Utilizzare il parametro ExclusiveConfigWriteScope, invece del parametro CustomConfigWriteScope.

Quando si esegue questa procedura, gli utenti a cui è assegnato il ruolo possono eseguire operazioni sugli oggetti inclusi nell'ambito esclusivo. Per ulteriori informazioni sugli ambiti esclusivi, vedere Informazioni sugli ambiti esclusivi.

Non è possibile creare un'assegnazione di ruolo utilizzando sia ambiti esclusivi sia ambiti regolari.

Ad esempio, per assegnare il ruolo "Mail Recipients" al gruppo di protezione universale "Protected User Admins" e applicare l'ambito esclusivo "Protected Users", eseguire il comando seguente:

New-ManagementRoleAssignment -Name "Mail Recipients_Protected User Admins" -SecurityGroup "Protected User Admins" -Role "Mail Recipients" -ExclusiveRecipientWriteScope "Protected Users"