Добавление роли для пользователя или универсальной группы безопасности

Применимо к: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Последнее изменение раздела: 2012-07-23

Пользователю или универсальной группе безопасности можно назначить роль управления. Назначение роли пользователю или универсальной группе безопасности позволяет предоставить пользователям права на выполнение задач, зависящих от командлетов, сценариев и соответствующих параметров, определенных в роли управления.

Несмотря на то что роли можно назначать напрямую пользователям и универсальным группам безопасности, рекомендуемым методом предоставления разрешений администраторам и пользователям является использование групп ролей управления и политик назначения ролей управления. Модель предоставления разрешений упрощается за счет использования групп и политик назначения ролей.

Если необходимо назначить роли группе ролей управления или политики назначения ролей управления, см. следующие разделы.

• Добавление роли в группу ролей

• Добавление роли к политике назначения

Если следует добавить членов в группу ролей или назначить пользователю политику назначения ролей, см. следующие разделы.

• Добавление участников в группу роли

• Изменение политики назначения для почтового ящика

Дополнительные сведения см. в разделе Общие сведения об управлении доступом на основе ролей.

Примечание.

Назначения ролей являются аддитивными. Это означает, что все роли суммируются при оценке. Если пользователю назначены две роли и одна из них содержит командлет, а другая нет, то командлет будет доступен пользователю. По умолчанию назначения ролей не предоставляют право на назначения ролей другим пользователям. Чтобы разрешить пользователю назначать роли другим пользователям или универсальным группам безопасности, см. раздел Назначения роли делегата.

Чтобы добавить назначение роли, необходимо использовать командную строку.

При создании назначения с областью эта область переопределяет неявную область записи роли. Тем не менее, неявная область чтения данной роли по-прежнему применяется. Новая область не может возвращать объекты, которые находятся за пределами неявной области чтения этой роли. Дополнительные сведения см. в разделе Общие сведения об областях применения ролей управления.

Во всех процедурах, приведенных в этом разделе, используется параметр SecurityGroup для назначения ролей универсальным группам безопасности. Чтобы назначить роль определенному пользователю, воспользуйтесь параметром User вместо параметра SecurityGroup. В остальном синтаксис всех команд одинаков.

Необходимы сведения о других задачах управления, связанных с ролями? См. раздел Управление расширенными разрешениями.

Создание назначения роли без области

Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Назначения ролей» в разделе Разрешения управления ролями.

Примечание.
Консоль управления EMC нельзя использовать для создания назначения роли без области.

Можно создать назначение роли без области. При этом применяются неявные области чтения и записи роли.

Используйте следующий синтаксис для назначения роли универсальной группе безопасности без области.

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name>

В этом примере роль Exchange Servers назначается универсальной группе безопасности SeattleAdmins.

New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers"

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

Создание назначения роли с предварительно определенной относительной областью

Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Назначения ролей» в разделе Разрешения управления ролями.

Примечание.
Консоль управления EMC нельзя использовать для создания назначения роли с предварительно определенной относительной областью.

Если предварительно определенная относительная область соответствует бизнес-требованиям, можно применить эту область к назначению роли, а не создавать пользовательскую область. Список предварительно определенных областей и их описания см. в разделе Общие сведения об областях применения ролей управления.

Используйте следующий синтаксис для назначения роли универсальной группе безопасности с предварительно определенной областью.

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -RecipientRelativeWriteScope < MyDistributionGroups | Organization | Self >

В этом примере роль Exchange Servers назначается универсальной группе безопасности SeattleAdmins, а затем применяется предварительно определенная область Organization.

New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers" -RecipientRelativeWriteScope Organization

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

Создание назначения роли с областью, основанной на фильтре получателей

Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Назначения ролей» в разделе Разрешения управления ролями.

Примечание.
Консоль управления EMC нельзя использовать для создания назначения роли с областью, основанной на фильтре получателей.

Если создана область, основанная на фильтре получателей, которую следует использовать для назначения роли, необходимо включить область в команду, используемую для назначения роли универсальной группе безопасности, с помощью параметра CustomRecipientWriteScope. При использовании параметра CustomRecipientWriteScope невозможно использовать параметр RecipientOrganizationalUnitScope.

Чтобы добавить область к назначению роли, ее необходимо создать. Дополнительные сведения см. в разделе Создание регулярной или монопольной области.

Используйте следующий синтаксис для назначения роли универсальной группе безопасности с областью, основанной на фильтре получателей.

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -CustomRecipientWriteScope <role scope name>

В этом примере роль Mail Recipients назначается универсальной группе безопасности Seattle Recipient Admins, а затем применяется область Seattle Recipients.

New-ManagementRoleAssignment -Name "Mail Recipients_Seattle Recipient Admins" -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -CustomRecipientWriteScope "Seattle Recipients"

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

Создание назначения роли с областью настройки на основе сервера, списка или фильтра серверов

Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Назначения ролей» в разделе Разрешения управления ролями.

Примечание.
Консоль управления EMC нельзя использовать для создания назначения роли с областью настройки, основанной на фильтре серверов или баз данных.

Если создана область настройки, основанная на списке или фильтре серверов или баз данных, которую следует использовать для назначения роли, необходимо включить область в команду, используемую для назначения роли универсальной группе безопасности, с помощью параметра CustomConfigWriteScope.

Чтобы добавить область к назначению роли, ее необходимо создать. Дополнительные сведения см. в разделе Создание регулярной или монопольной области.

Используйте следующий синтаксис для назначения роли универсальной группе безопасности с областью настройки.

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -CustomConfigWriteScope <role scope name>

В этом примере роль Exchange Servers назначается универсальной группе безопасности MailboxAdmins, а затем применяется область Mailbox Servers.

New-ManagementRoleAssignment -Name "Exchange Servers_MailboxAdmins" -SecurityGroup MailboxAdmins -Role "Exchange Servers" -CustomConfigWriteScope "Mailbox Servers"

В предыдущем примере представлен процесс назначения роли с областью настройки сервера. Синтаксис для добавления области настройки базы данных одинаков. Вместо имени области сервера указывается имя области базы данных.

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

Создание назначения ролей с областью применения в подразделениях

Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Назначения ролей» в разделе Разрешения управления ролями.

Примечание.
Консоль управления EMC нельзя использовать для создания назначения роли с областью подразделений.

Если необходимо назначить подразделению область записи роли, можно указать подразделение напрямую в параметре RecipientOrganizationalUnitScope. При использовании параметра RecipientOrganizationalUnitScope невозможно использовать параметр CustomRecipientWriteScope.

Используйте приведенный ниже синтаксис для назначения ролей универсальной группе безопасности и ограничения области записи роли для определенного подразделения.

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -RecipientOrganizationalUnitScope <OU>

В этом примере роль Mail Recipients назначается группе ролей SalesRecipientAdmins, затем область действия этого назначения сужается до подразделения sales/users в домене contoso.com.

New-ManagementRoleAssignment -Name "Mail Recipients_SalesRecipientAdmins" -SecurityGroup SalesRecipientAdmins -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

Создание назначения ролей с монопольной областью получателей или конфигураций

Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Назначения ролей» в разделе Разрешения управления ролями.

Примечание.
Консоль управления EMC нельзя использовать для создания назначения роли с монопольной областью получателей или настройки.

Чтобы создать монопольное назначение ролей с монопольной областью получателей или конфигураций, можно использовать те же процедуры, приведенные в разделах Create a role assignment with a recipient filter-based scope и Create a role assignment with a server or database filter or list-based configuration scope. Единственное отличие состоит в том, что при создании назначения ролей с монопольной областью, необходимо указать следующие исключительные параметры в зависимости от использования монопольной области получателей или монопольной области конфигураций.

• Монопольные области получателей   Используйте параметр ExclusiveRecipientWriteScope вместо параметра CustomRecipientWriteScope.

• Монопольные области конфигураций   Используйте параметр ExclusiveConfigWriteScope вместо параметра CustomConfigWriteScope.

При выполнении этой процедуры пользователи, которым была назначена роль, могут выполнять действия над объектами, включенными в монопольную область. Дополнительные сведения о монопольных областях см. в разделе Общие сведения об исключительных областях.

Нельзя создать назначение ролей одновременно со стандартной и монопольной областью.

В этом примере роль Mail Recipients назначается универсальной группе безопасности Protected User Admins, а затем применяется область Protected Users.

New-ManagementRoleAssignment -Name "Mail Recipients_Protected User Admins" -SecurityGroup "Protected User Admins" -Role "Mail Recipients" -ExclusiveRecipientWriteScope "Protected Users"

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

 © Корпорация Майкрософт (Microsoft Corporation), 2010. Все права защищены.