向角色组添加角色
**适用于:**Exchange Server 2010
**上一次修改主题:**2009-04-27
如果要使分配有管理角色组的管理员能够管理某个功能,需要将管理该功能的管理角色添加到角色组。有关 Microsoft Exchange Server 2010 中的角色组、管理角色分配和管理作用域的详细信息,请参阅下列主题:
备注
角色分配是累加的。这意味着对所有角色进行评估时会将其加在一起。如果向某个用户分配了两个角色,但只有一个角色包含 cmdlet,则该用户仍然可以使用此 cmdlet。
备注
无法向内置角色组添加角色。
默认情况下,角色分配(包括 组织管理 角色)不会授予向其他用户分配角色的能力(称为角色委派)。角色委派是一项高级任务。若要使用户能够向其他角色组分配角色,请参阅委派角色分配。
是否正在寻找与管理员和专家用户相关的其他管理任务?请查看管理管理员和专家用户。
希望执行何种操作?
- 使用命令行管理程序创建无作用域的角色分配
- 使用命令行管理程序创建具有预定义作用域的角色分配
- 使用命令行管理程序创建具有基于收件人筛选器的作用域的角色分配
- 使用命令行管理程序创建具有基于配置筛选器的作用域的角色分配
- 使用命令行管理程序创建具有 OU 作用域的角色分配
如果创建具有作用域的新分配,则该作用域将取代角色的隐式写入作用域。但是,角色的隐式读取作用域仍然适用。新作用域无法返回角色的隐式读取作用域之外的对象。有关详细信息,请参阅了解管理角色作用域。
使用命令行管理程序创建无作用域的角色分配
需要首先分配权限,然后才能执行此过程。若要查看所需的权限,请参阅角色管理权限主题中的“角色组”条目。
备注
您不能使用 EMC 创建无作用域的角色分配。
可以在角色和角色组之间创建无作用域的角色分配。这样做时,角色的隐式读取和隐式写入作用域都适用。
使用以下语法可将没有任何作用域的角色分配给角色组。
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <role group name> -Role <role name>
此示例将 Transport Rules 管理角色分配给 Seattle Compliance 角色组。
New-ManagementRoleAssignment -Name "Transport Rules_Seattle Compliance" -SecurityGroup "Seattle Compliance" -Role "Transport Rules"
有关详细的语法和参数信息,请参阅New-ManagementRoleAssignment。
使用命令行管理程序创建具有预定义作用域的角色分配
需要首先分配权限,然后才能执行此过程。若要查看所需的权限,请参阅角色管理权限主题中的“角色组”条目。
备注
您不能使用 EMC 创建具有预定义作用域的角色分配。
如果预定义作用域满足您的业务要求,则可以将该作用域应用于角色分配,而不是新建一个角色分配。有关预定义作用域及其说明的列表,请参阅了解管理角色作用域。
使用以下语法可将角色分配给具有预定义作用域的角色组。
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <role group name> -Role <role name> -RecipientRelativeWriteScope < MyGAL | MyDistributionGroups | Organization | Self >
此示例将 Message Tracking 角色分配给 Enterprise Support 角色组,并应用 Organization 预定义作用域。
New-ManagementRoleAssignment -Name "Message Tracking_Enterprise Support" -SecurityGroup "Enterprise Support" -Role "Message Tracking" -RecipientRelativeWriteScope Organization
有关详细的语法和参数信息,请参阅New-ManagementRoleAssignment。
使用命令行管理程序创建具有基于收件人筛选器的作用域的角色分配
需要首先分配权限,然后才能执行此过程。若要查看所需的权限,请参阅角色管理权限主题中的“角色组”条目。
备注
您不能使用 EMC 创建具有基于收件人筛选器的作用域的角色分配。
如果创建了基于收件人筛选器的作用域,则需要使用 CustomRecipientWriteScope 参数将该作用域包含在用于向角色组分配角色的命令中。
创建具有收件人写入作用域的角色分配时,也可以包含配置写入作用域。
使用以下语法可将角色分配给具有基于收件人筛选器的作用域的角色组。
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <role group name> -Role <role name> -CustomRecipientWriteScope <role scope name>
此示例将 Message Tracking 角色分配给 Seattle Recipient Admins 角色组,并应用 Seattle Recipients 作用域。
New-ManagementRoleAssignment -Name "Message Tracking_Seattle Recipient Admins" -SecurityGroup "Seattle Recipient Admins" -Role "Message Tracking" -CustomRecipientWriteScope "Seattle Recipients"
有关详细的语法和参数信息,请参阅New-ManagementRoleAssignment。
使用命令行管理程序创建具有基于配置筛选器的作用域的角色分配
需要首先分配权限,然后才能执行此过程。若要查看所需的权限,请参阅角色管理权限主题中的“角色组”条目。
备注
您不能使用 EMC 创建具有基于配置筛选器的作用域的角色分配。
如果创建了基于配置筛选器的作用域,则需要使用 CustomConfigWriteScope 参数将该作用域包含在用于向角色组分配角色的命令中。
创建具有配置写入作用域的角色分配时,也可以包含收件人写入作用域。
使用以下语法可将角色分配给具有基于配置筛选器的作用域的角色组。
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <role group name> -Role <role name> -CustomConfigWriteScope <role scope name>
此示例将 Databases 角色分配给 Seattle Server Admins 角色组,并应用 Seattle Servers 作用域。
New-ManagementRoleAssignment -Name "Databases_Seattle Server Admins" -SecurityGroup "Seattle Server Admins" -Role "Databases" -CustomConfigWriteScope "Seattle Servers"
有关详细的语法和参数信息,请参阅New-ManagementRoleAssignment。
使用命令行管理程序创建具有 OU 作用域的角色分配
需要首先分配权限,然后才能执行此过程。若要查看所需的权限,请参阅角色管理权限主题中的“角色组”条目。
备注
您不能使用 EMC 创建具有组织单位 (OU) 作用域的角色分配。
如果要将角色的写入作用域限定为某个 OU,则可以直接在 RecipientOrganizationalUnitScope 参数中指定该 OU。
使用以下命令可将角色分配给角色组,并将角色的写入作用域限制为特定的 OU。
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <role group name> -Role <role name> -RecipientOrganizationalUnitScope <OU>
此示例将 Mail Recipients 角色分配给 Seattle Recipient Admins 角色组,并将该分配的作用域限定为 Contoso.com 域中的 Sales\Users OU。
New-ManagementRoleAssignment -Name "Mail Recipients_Seattle Recipient Admins" -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" - RecipientOrganizationalUnitScope contoso.com/sales/users
有关详细的语法和参数信息,请参阅New-ManagementRoleAssignment。
其他任务
在将角色添加到角色组之后,您可能还需要: