Добавление роли для пользователя или универсальной группы безопасности

Область применения: Exchange Server 2013 г.

Пользователю или универсальной группе безопасности можно назначить роль управления. Назначение роли пользователю или универсальной группе безопасности позволяет предоставить пользователям права на выполнение задач, зависящих от командлетов, сценариев и соответствующих параметров, определенных в роли управления.

Если необходимо назначить роли группе ролей управления или политики назначения ролей управления, см. следующие разделы.

• Управление группами ролей

• Управление политиками назначения ролей

Если следует добавить членов в группу ролей или назначить пользователю политику назначения ролей, см. следующие разделы.

• Управление участниками группы ролей

• Изменение политики назначения для почтового ящика

Дополнительные сведения см. в разделе Общие сведения об управлении доступом на основе ролей.

Ищете другие задачи управления, связанные с ролями? Ознакомьтесь с дополнительными разрешениями.

Что нужно знать перед началом работы

• Предполагаемое время для завершения каждой процедуры: 5 минут

• Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "Назначения ролей" в разделе Разрешения для управления ролями .

• Для выполнения этих процедур необходимо использовать командную консоль Exchange.

• Несмотря на то что роли можно назначать напрямую пользователям и универсальным группам безопасности, рекомендуемым методом предоставления разрешений администраторам и пользователям является использование групп ролей управления и политик назначения ролей управления. Модель предоставления разрешений упрощается за счет использования групп и политик назначения ролей.

• Назначения ролей являются аддитивными. Это означает, что все роли суммируются при их оценке. Если пользователю назначены две роли и одна из них содержит командлет, а другая нет, то командлет будет доступен пользователю.

  По умолчанию назначения ролей не предоставляют право на назначения ролей другим пользователям. Сведения о том, как разрешить пользователю назначать роли другим пользователям или группам usG, см. в разделе Делегирование назначений ролей.

• При создании назначения с областью эта область переопределяет неявную область записи роли. Тем не менее, неявная область чтения данной роли по-прежнему применяется. Новая область не может возвращать объекты, которые находятся за пределами неявной области чтения этой роли. Дополнительные сведения см. в разделе Общие сведения об областях ролей управления.

• Во всех процедурах, описанных в этом разделе, используется параметр SecurityGroup для назначения ролей группе usg. Чтобы назначить роль определенному пользователю, воспользуйтесь параметром User вместо параметра SecurityGroup. В остальном синтаксис всех команд одинаков.

• Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.

Создание назначения роли без области

Можно создать назначение роли без области. При этом применяются неявные области чтения и записи роли.

Используйте следующий синтаксис для назначения роли универсальной группе безопасности без области.

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name>

В этом примере роль Exchange Servers назначается универсальной группе безопасности SeattleAdmins.

New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers"

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

Создание назначения роли с предварительно определенной относительной областью

Если предварительно определенная относительная область соответствует бизнес-требованиям, можно применить эту область к назначению роли, а не создавать пользовательскую область. Список стандартных областей и их описания см. в разделе Общие сведения о областях ролей управления.

Используйте следующий синтаксис для назначения роли универсальной группе безопасности с предварительно определенной областью.

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -RecipientRelativeWriteScope < MyDistributionGroups | Organization | Self >

В этом примере роль Exchange Servers назначается универсальной группе безопасности SeattleAdmins, а затем применяется предварительно определенная область Organization.

New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers" -RecipientRelativeWriteScope Organization

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

Создание назначения роли с областью, основанной на фильтре получателей

Если создана область, основанная на фильтре получателей, которую следует использовать для назначения роли, необходимо включить область в команду, используемую для назначения роли универсальной группе безопасности, с помощью параметра CustomRecipientWriteScope. При использовании параметра CustomRecipientWriteScope невозможно использовать параметр RecipientOrganizationalUnitScope.

Чтобы добавить область к назначению роли, ее необходимо создать. Дополнительные сведения см. в разделе Создание обычной или монопольной области.

Используйте следующий синтаксис для назначения роли универсальной группе безопасности с областью, основанной на фильтре получателей.

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -CustomRecipientWriteScope <role scope name>

В этом примере роль Mail Recipients назначается универсальной группе безопасности Seattle Recipient Admins, а затем применяется область Seattle Recipients.

New-ManagementRoleAssignment -Name "Mail Recipients_Seattle Recipient Admins" -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -CustomRecipientWriteScope "Seattle Recipients"

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

Создание назначения роли с областью настройки на основе сервера, списка или фильтра серверов

Если создана область настройки, основанная на списке или фильтре серверов или баз данных, которую следует использовать для назначения роли, необходимо включить область в команду, используемую для назначения роли универсальной группе безопасности, с помощью параметра CustomConfigWriteScope.

Чтобы добавить область к назначению роли, ее необходимо создать. Дополнительные сведения см. в разделе Создание обычной или монопольной области.

Используйте следующий синтаксис для назначения роли универсальной группе безопасности с областью настройки.

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -CustomConfigWriteScope <role scope name>

В этом примере роль Exchange Servers назначается универсальной группе безопасности MailboxAdmins, а затем применяется область Mailbox Servers.

New-ManagementRoleAssignment -Name "Exchange Servers_MailboxAdmins" -SecurityGroup MailboxAdmins -Role "Exchange Servers" -CustomConfigWriteScope "Mailbox Servers"

В предыдущем примере представлен процесс назначения роли с областью настройки сервера. Синтаксис для добавления области настройки базы данных одинаков. Вместо имени области сервера указывается имя области базы данных.

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

Создание назначения ролей с областью применения в подразделениях

Если необходимо назначить подразделению область записи роли, можно указать это подразделение напрямую в параметре RecipientOrganizationalUnitScope. При использовании параметра RecipientOrganizationalUnitScope невозможно использовать параметр CustomRecipientWriteScope.

Используйте приведенный ниже синтаксис для назначения ролей универсальной группе безопасности и ограничения области записи роли для определенного подразделения.

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -RecipientOrganizationalUnitScope <OU>

В этом примере роль Mail Recipients назначается группе ролей SalesRecipientAdmins, затем область действия этого назначения сужается до подразделения sales/users в домене contoso.com.

New-ManagementRoleAssignment -Name "Mail Recipients_SalesRecipientAdmins" -SecurityGroup SalesRecipientAdmins -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

Создание назначения ролей с монопольной областью получателей или конфигураций

Чтобы создать монопольное назначение ролей с монопольной областью получателей или конфигураций, можно использовать те же процедуры, приведенные в разделах Create a role assignment with a recipient filter-based scope и Create a role assignment with a server or database filter or list-based configuration scope. Единственное отличие состоит в том, что при создании назначения ролей с монопольной областью, необходимо указать следующие исключительные параметры в зависимости от использования монопольной области получателей или монопольной области конфигураций.

• Области монопольного получателя. Используйте параметр ExclusiveRecipientWriteScope вместо параметра CustomRecipientWriteScope .

• Области монопольной конфигурации. Используйте параметр ExclusiveConfigWriteScope вместо параметра CustomConfigWriteScope .

При выполнении этой процедуры пользователи, которым была назначена роль, могут выполнять действия над объектами, включенными в монопольную область. Дополнительные сведения о монопольных областях см. в разделе Общие сведения об исключительных областях.

Нельзя создать назначение ролей одновременно со стандартной и монопольной областью.

В этом примере роль Mail Recipients назначается универсальной группе безопасности Protected User Admins, а затем применяется область Protected Users.

New-ManagementRoleAssignment -Name "Mail Recipients_Protected User Admins" -SecurityGroup "Protected User Admins" -Role "Mail Recipients" -ExclusiveRecipientWriteScope "Protected Users"

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.