Gerenciar grupos de funções vinculadas

Aplica-se a: Exchange Server 2013

Você pode usar um grupo de funções de gerenciamento vinculado para habilitar membros de um grupo de segurança universal (USG) em uma floresta do Active Directory estrangeira para gerenciar uma organização Microsoft Exchange Server 2013 em uma floresta do Active Directory de recursos. Ao associar um USG em uma floresta externa a um grupo de função vinculado, os membros desse USG recebem as permissões fornecidas pelas funções de gerenciamento atribuídas ao grupo de função vinculado. Para obter mais informações sobre grupos de funções vinculadas, consulte Entender grupos de funções de gerenciamento.

Para criar e configurar grupos de funções vinculadas, você precisa usar os cmdlets New-RoleGroup e Set-RoleGroup . Para obter informações detalhadas sobre sintaxes e parâmetros, consulte os seguintes tópicos:

Para tarefas de gerenciamento adicionais relacionadas a grupos de funções, consulte Permissões.

Do que você precisa saber para começar?

  • Tempo estimado para concluir cada procedimento: 5 a 10 minutos

  • Para executar este procedimento ou estes procedimentos, você precisa receber permissões. Para ver de que permissões você precisa, consulte o Entrada "Grupos de função" no tópico Permissões de gerenciamento de função .

  • Você não pode usar o Centro de Administração do Exchange (EAC) para criar ou configurar grupos de funções vinculadas. Você deve usar o Shell de Gerenciamento do Exchange.

  • No mínimo, configurar um grupo de funções vinculadas requer que uma confiança unidirecional seja estabelecida entre a floresta de recursos do Active Directory na qual o grupo de funções vinculadas residirá e a floresta estrangeira do Active Directory onde residem os usuários ou USGs. A floresta de recursos deve confiar na floresta externa.

  • Você deve ter as seguintes informações sobre a floresta do Active Directory estrangeiro:

    • Credenciais: você deve ter um nome de usuário e uma senha que possam acessar a floresta do Active Directory estrangeira. Essas informações são usadas com o parâmetro LinkedCredential nos cmdlets New-RoleGroup e Set-RoleGroup .

    • Controlador de domínio: você deve ter o FQDN (nome de domínio totalmente qualificado) de um controlador de domínio do Active Directory na floresta do Active Directory estrangeiro. Essas informações são usadas com o parâmetro LinkedDomainController nos cmdlets New-RoleGroup e Set-RoleGroup .

    • USG estrangeiro: você deve ter o nome completo de um USG na floresta do Active Directory estrangeiro que contém os membros que você deseja associar ao grupo de funções vinculados. Essas informações são usadas com o parâmetro LinkedForeignGroup no cmdlet New-RoleGroup e Set-RoleGroup .

  • Para informações sobre atalhos de teclado que possam se aplicar aos procedimentos neste tópico, confira Atalhos de teclado no Centro de Administração do Exchange.

Dica

Está com problemas? Peça ajuda nos fóruns do Exchange. Visite os fóruns no Exchange Server.

Criar um grupo de função vinculado

Usar o Shell para criar um grupo de função vinculado sem escopo

Para criar um grupo de função vinculado e atribuir funções de gerenciamento ao grupo de função vinculado, faça o seguinte:

  1. Armazene as credenciais de floresta do Active Directory estrangeiras em uma variável.

    $ForeignCredential = Get-Credential
    
  2. Criar o grupo de função vinculado usando a sintaxe a seguir.

    New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -Roles <role1, role2, role3...>
    
  3. Adicione ou remova membros para ou do USG estrangeiro usando Usuários e Computadores do Active Directory em um computador na floresta estrangeira do Active Directory.

Esse exemplo faz o seguinte:

  • Recupera as credenciais do users.contoso.com floresta estrangeira do Active Directory. Essas credenciais são usadas para conectar ao controlador de domínio DC01.users.contoso.com na floresta externa.

  • Cria um grupo de funções vinculado chamado Grupo de Funções de Conformidade na floresta de recursos em que o Exchange 2013 está instalado.

  • Vincula o novo grupo de funções ao USG administradores de conformidade na floresta users.contoso.com Active Directory estrangeira.

  • Atribui as funções de gerenciamento Regras de Transporte e Registro em Diário ao novo grupo de função vinculado.

$ForeignCredential = Get-Credential
New-RoleGroup "Compliance Role Group" -LinkedForeignGroup "Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles "Transport Rules", "Journaling"

Usar o Shell para criar um grupo de função vinculado com um escopo de gerenciamento personalizado

É possível criar grupos de função vinculados com escopos de gerenciamento de destinatário personalizados, escopos de gerenciamento de configuração personalizados ou ambos. Para criar um grupo de função vinculado e atribuir funções de gerenciamento com escopos personalizados a ele, faça o seguinte:

  1. Armazene as credenciais de floresta do Active Directory estrangeiras em uma variável.

    $ForeignCredential = Get-Credential
    
  2. Criar o grupo de função vinculado usando a sintaxe a seguir.

    New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -CustomConfigWriteScope <name of configuration scope> -CustomRecipientWriteScope <name of recipient scope> -LinkedCredential $ForeignCredential -Roles <role1, role2, role3...>
    
  3. Adicione ou remova membros para ou do USG estrangeiro usando Usuários e Computadores do Active Directory em um computador na floresta estrangeira do Active Directory.

Esse exemplo faz o seguinte:

  • Recupera as credenciais do users.contoso.com floresta estrangeira do Active Directory. Essas credenciais são usadas para conectar ao controlador de domínio DC01.users.contoso.com na floresta externa.

  • Cria um grupo de função vinculado chamado Grupo de Funções de Conformidade de Seattle na floresta de recursos em que o Exchange 2013 está instalado.

  • Vincula o novo grupo de funções ao USG dos Administradores de Conformidade de Seattle na floresta users.contoso.com Active Directory estrangeira.

  • Atribui as funções de gerenciamento Regras de Transporte e Registro em Diário ao novo grupo de função vinculado com o escopo de destinatário personalizado Destinatários de Seattle.

$ForeignCredential = Get-Credential
New-RoleGroup "Seattle Compliance Role Group" -LinkedForeignGroup "Seattle Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -CustomRecipientWriteScope "Seattle Recipients" -Roles "Transport Rules", "Journaling"

Para mais informações sobre escopos de gerenciamento, confira Noções básicas sobre escopos da função de gerenciamento.

Usar o Shell para criar um grupo de função vinculado com um escopo de OU

Você pode criar grupos de função vinculados que usam um escopo de destinatário OU. Para criar um grupo de função vinculado e atribuir funções de gerenciamento a ele com um escopo de OU, faça o seguinte:

  1. Armazene as credenciais de floresta do Active Directory estrangeiras em uma variável.

    $ForeignCredential = Get-Credential
    
  2. Criar o grupo de função vinculado usando a sintaxe a seguir.

    New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -RecipientOrganizationalUnitScope <OU name> -Roles <role1, role2, role3...>
    
  3. Adicione ou remova membros para ou do USG estrangeiro usando Usuários e Computadores do Active Directory em um computador na floresta estrangeira do Active Directory.

Esse exemplo faz o seguinte:

  • Recupera as credenciais do users.contoso.com floresta estrangeira do Active Directory. Essas credenciais são usadas para conectar ao controlador de domínio DC01.users.contoso.com na floresta externa.

  • Cria um grupo de funções vinculados chamado Grupo de Funções de Conformidade de Executivos na floresta de recursos em que o Exchange 2013 está instalado.

  • Vincula o novo grupo de funções ao USG administradores de conformidade de executivos na floresta users.contoso.com Active Directory estrangeira.

  • Atribui as funções de gerenciamento Regras de Transporte e Registro em Diário ao novo grupo de função vinculado com o escopo de destinatário de OU OU de Executivos.

$ForeignCredential = Get-Credential
New-RoleGroup "Executives Compliance Role Group" -LinkedForeignGroup "Executives Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -RecipientOrganizationalUnitScope "Executives OU" -Roles "Transport Rules", "Journaling"

Para mais informações sobre escopos de gerenciamento, confira Noções básicas sobre escopos da função de gerenciamento.

Alterar o USG estrangeiro em um grupo de função vinculado

Use o Shell para alterar o USG estrangeiro em um grupo de função vinculado

Para alterar o USG estrangeiro associado a um grupo de função vinculado, faça o seguinte:

  1. Armazene as credenciais de floresta do Active Directory estrangeiras em uma variável.

    $ForeignCredential = Get-Credential
    
  2. Altere o USG estrangeiro no grupo de funções vinculadas existente usando a sintaxe a seguir.

    Set-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential
    

Esse exemplo faz o seguinte:

  • Recupera as credenciais do users.contoso.com floresta estrangeira do Active Directory. Essas credenciais são usadas para conectar ao controlador de domínio DC01.users.contoso.com na floresta externa.

  • Altera o USG estrangeiro no grupo de funções do Grupo de Funções de Conformidade para Oficiais de Conformidade Regulatória.

$ForeignCredential = Get-Credential
Set-RoleGroup "Compliance Role Group" -LinkedForeignGroup "Regulatory Compliance Officers" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential