Создание регулярной или монопольной области
Применимо к: Exchange Server 2010
Последнее изменение раздела: 2009-10-19
В областях ролей управления определяется, к каким объектам открывается доступ для пользователя, чтобы их можно было изменять с помощью назначенных для них командлетов и параметров. Добавляя область управления, можно настроить назначения ролей управления, чтобы пользователи могли управлять конкретными серверами, получателями и другими объектами в организации, одновременно запрещая им изменять другие объекты.
Важно!
При создании регулярной или монопольной области переопределяется область записи, определенная для назначаемой роли управления. Область чтения, настроенную для роли управления, переопределить нельзя.
В этой процедуре описывается создание настраиваемой области управления. Если требуется создать назначение роли управления с заранее созданной областью управления или областью управления подразделения, см. раздел Добавление роли для пользователя или универсальной группы безопасности.
Примечание. |
---|
Консоль управления EMC нельзя использовать для создания настраиваемой области либо для добавления или изменения назначения роли управления. |
Дополнительные сведения об областях и назначениях ролей управления в Microsoft Exchange Server 2010 см. в следующих разделах:
- Общие сведения об областях применения ролей управления
- Общие сведения о назначениях ролей управления
Необходимы сведения о других задачах управления, связанных с областями? См. раздел Управление расширенными разрешениями.
Шаг 1. Создание настраиваемой области
Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Роли управления» в разделе Разрешения управления ролями.
Чтобы создать настраиваемую область, выберите один из следующих типов областей.
- Создание области фильтра получателей
- Создание области конфигурации фильтра сервера
- Создание области конфигурации списка серверов
- Создание монопольной области
Создание области фильтра получателей
Области на основе фильтров получателей создаются с помощью параметра RecipientRestrictionFilter командлета New-ManagementScope. При создании фильтра получателей, кроме добавления свойств получателей для фильтра, можно также определить подразделение, в котором выполняется запрос фильтра. Задание базового подразделения ограничивает область записи для роли.
Дополнительные сведения о фильтрах областей управления см. в разделе Общие сведения о фильтрах областей ролей управления.
Чтобы создать область фильтра ограничения домена с базовым подразделением, используйте следующий синтаксис.
New-ManagementScope -Name <scope name> -RecipientRestrictionFilter <filter query> [-RecipientRoot <OU>]
В этом примере создается область, содержащая все почтовые ящики в подразделении contoso.com/Sales.
New-ManagementScope -Name "Mailboxes in Sales OU" -RecipientRestrictionFilter { RecipientType -eq 'UserMailbox' } -RecipientRoot "contoso.com/Sales OU"
Примечание. |
---|
Если нужно применить фильтр ко всей неявной области чтения роли управления, а не только внутри конкретного подразделения, можно опустить параметр RecipientRoot. |
Создание области конфигурации фильтра сервера
Области конфигурации на основе фильтра серверов создаются с помощью параметра ServerRestrictionFilter командлета New-ManagementScope. Фильтр серверов позволяет создавать область, применяемую только к серверам, соответствующим заданному фильтру.
Дополнительные сведения о фильтрах областей управления см. в разделе Общие сведения о фильтрах областей ролей управления.
Используйте следующий синтаксис для создания фильтра ограничений серверов.
New-ManagementScope -Name <scope name> -ServerRestrictionFilter <filter query>
В этом примере создается область, содержащая все серверы на сайте Seattle AD (Active Directory).
New-ManagementRole -Name "Servers in Seattle AD site" -ServerRestrictionFilter { ServerSite -eq 'Seattle' }
Создание области конфигурации списка серверов
Области конфигурации на основе списка серверов создаются с помощью параметра ServerList командлета New-ManagementScope. Область списка серверов позволяет создавать область, применяемую только к серверам, заданным в списке.
Используйте следующий синтаксис для создания области списка серверов.
New-ManagementScope -Name <scope name> -ServerList <server 1>, <server 2...>
В этом примере создается область, применяемая только к серверам MBX1, MBX3 и MBX5.
New-ManagementScope -Name "Mailbox servers" -ServerList MBX1,MBX3,MBX5
Создание монопольной области
Любую область, созданную с помощью командлета New-ManagementScope, можно сделать монопольной областью. Для создания монопольной области используются те же команды, которые используются в разделах Создание области фильтра получателей, Создание области конфигурации фильтра сервера и Создание области конфигурации списка серверов для создания области на основе фильтра получателей, фильтра серверов или списка серверов, соответственно; затем к команде добавляется переключатель Exclusive.
Предупреждение
При создании монопольных областей управления только те пользователи, кому назначены роли с назначенными монопольными областями, содержащими изменяемые объекты, могут получить доступ к этим объектам. Только администраторы, которым назначена роль с монопольной областью, могут получать доступ к этим исключительным (или защищенным) объектам.
В этом примере создается монопольная область на основе фильтра получателей, соответствующая любому пользователю из отдела Executives.
New-ManagementScope "Executive Users Exclusive Scope" -RecipientRestrictionFilter { Department -Eq "Executives" } -Exclusive
При создании монопольной области необходимо по умолчанию подтвердить создание монопольной области и осведомленность о влиянии монопольной области на существующие назначения неисключительных ролей. Если требуется отключить предупреждения, можно использовать переключатель Force. В этом примере создается та же область, что и в предыдущем примере, но без предупреждения.
New-ManagementScope "Executive Users Exclusive Scope" -RecipientRestrictionFilter { Department -Eq "Executives" } -Exclusive -Force
Шаг 2. Добавление или изменение назначения роли управления
Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Назначения ролей» в разделе Разрешения управления ролями.
Созданную область необходимо добавить в новое или существующее назначение роли управления.
Если созданную область управления требуется добавить в создаваемое назначение роли управления, см. следующие разделы:
- Добавление роли в группу ролей
- Добавление роли для пользователя или универсальной группы безопасности
Если созданную область ролей управления требуется добавить в существующее назначение роли управления, см. следующие разделы: