Создание обычной или исключительной области
Область применения: Exchange Server 2013 г.
В областях ролей управления определяется, к каким объектам открывается доступ для пользователя, чтобы их можно было изменять с помощью назначенных для них командлетов и параметров. Добавляя область управления, можно настроить назначения ролей управления, чтобы пользователи могли управлять конкретными серверами, базами данных, получателями и другими объектами в организации, одновременно запрещая им изменять другие объекты.
Важно!
При создании регулярной или монопольной области переопределяется область записи, определенная для назначаемой роли управления. Область чтения, настроенную для роли управления, переопределить нельзя.
Можно создать настраиваемую область управления и добавить или изменить назначение ролей управления. Если вы хотите создать назначение роли управления с предварительно созданной областью управления или подразделением ( OU), см. статью Добавление роли для пользователя или usG.
Дополнительные сведения об областях и назначениях ролей управления в Microsoft Exchange Server 2013 см. в следующих разделах:
Ищете другие задачи управления, связанные с областями? Ознакомьтесь с дополнительными разрешениями.
Что нужно знать перед началом работы
Предполагаемое время для завершения каждой процедуры: 5 минут
Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "Области управления" в разделе Разрешения управления ролями .
Для выполнения этих процедур необходимо использовать командную консоль Exchange.
Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.
Совет
Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по адресу Exchange Server.
Шаг 1. Создание настраиваемой области
Чтобы создать настраиваемую область, выберите один из следующих типов областей.
Область фильтра получателей
Области на основе фильтров получателей создаются с помощью параметра RecipientRestrictionFilter командлета New-ManagementScope. При создании фильтра получателей кроме добавления свойств получателей для фильтра можно также определить подразделение, в котором выполняется запрос фильтра. Задание базового подразделения ограничивает область записи для роли.
Дополнительные сведения о фильтрах областей управления см. в разделе Общие сведения о фильтрах области ролей управления.
Чтобы создать область фильтра ограничения домена с базовым подразделением, используйте следующий синтаксис.
New-ManagementScope -Name <scope name> -RecipientRestrictionFilter <filter query> [-RecipientRoot <OU>]
В этом примере создается область, содержащая все почтовые ящики в подразделении contoso.com/Sales.
New-ManagementScope -Name "Mailboxes in Sales OU" -RecipientRestrictionFilter "RecipientType -eq 'UserMailbox'" -RecipientRoot "contoso.com/Sales OU"
Примечание.
Параметр RecipientRoot можно опустить, если требуется применить фильтр ко всей области неявного чтения роли управления, а не только к определенному подразделению.
Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementScope.
Область настройки фильтра сервера
Области конфигурации на основе фильтра серверов создаются с помощью параметра ServerRestrictionFilter командлета New-ManagementScope. Фильтр серверов позволяет создавать область, применяемую только к серверам, соответствующим заданному фильтру.
Дополнительные сведения о фильтрах области управления и список фильтруемых свойств сервера см. в разделе Общие сведения о фильтрах области ролей управления.
Используйте следующий синтаксис для создания области фильтра серверов.
New-ManagementScope -Name <scope name> -ServerRestrictionFilter <filter query>
В данном примере создается область, включающая все серверы в пределах сайта Active Directory "CN=Redmond,CN=Sites,CN=Configuration,DC=contoso,DC=com" (Active Directory).
New-ManagementScope -Name "Servers in Seattle AD site" -ServerRestrictionFilter "ServerSite -eq 'CN=Redmond,CN=Sites,CN=Configuration,DC=contoso,DC=com'"
Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementScope.
Область конфигурации списка серверов
Области конфигурации на основе списка серверов создаются с помощью параметра ServerList командлета New-ManagementScope. Область списка серверов позволяет создавать область, применяемую только к серверам, заданным в списке.
Используйте следующий синтаксис для создания области списка серверов.
New-ManagementScope -Name <scope name> -ServerList <server 1>, <server 2...>
В этом примере создается область, применяемая только к серверам MBX1, MBX3 и MBX5.
New-ManagementScope -Name "Mailbox servers" -ServerList MBX1,MBX3,MBX5
Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementScope.
Область настройки фильтра базы данных
Области конфигурации на основе фильтра баз данных создаются с помощью параметра DatabaseRestrictionFilter командлета New-ManagementScope. Фильтр баз данных позволяет создавать область, применяемую только к базам данных, соответствующим заданному фильтру.
Важно!
Назначения ролей, связанные с областями баз данных, применяются только к пользователям, которые подключаются к серверам под управлением Microsoft Exchange Server 2010 с пакетом обновления 1 (SP1) или более поздней версии, или Exchange 2013. Если пользователь, которому назначены роли, связанные с областью базы данных, подключается к версии сервера, которая предшествует версии Exchange 2010 с пакетом обновления 1 (SP1), то такие роли к пользователю не применяются, а соответствующие им разрешения не предоставляются.
Дополнительные сведения о фильтрах области управления и список фильтруемых свойств базы данных см. в разделе Общие сведения о фильтрах области ролей управления.
Используйте следующий синтаксис для создания фильтра ограничений баз данных.
New-ManagementScope -Name <scope name> -DatabaseRestrictionFilter <filter query>
В этом примере создается область, включающая в себя все базы данных, содержащие строку Executive в свойстве Name.
New-ManagementScope -Name "Executive Databases" -DatabaseRestrictionFilter "Name -Like '*Executive*'"
Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementScope.
Область настройки списка баз данных
Области конфигурации на основе списка баз данных создаются с помощью параметра DatabaseList командлета New-ManagementScope. Область списка баз данных позволяет создавать область, применяемую только к базам данных, заданным в списке.
Важно!
Назначения ролей, связанные с областями баз данных, применяются только к пользователям, которые подключаются к серверам под управлением Microsoft Exchange Server 2010 с пакетом обновления 1 (SP1) или более поздней версии, или Exchange 2013. Если пользователь, которому назначены роли, связанные с областью базы данных, подключается к версии сервера, которая предшествует версии Exchange 2010 с пакетом обновления 1 (SP1), то такие роли к пользователю не применяются, а соответствующие им разрешения не предоставляются.
Используйте следующий синтаксис для создания области списка баз данных.
New-ManagementScope -Name <scope name> -DatabaseList <database 1>, <database 2...>
В этом примере создается область, которая применяется только к базам данных Database 1, Database 2 и Database 3.
New-ManagementScope -Name "Primary databases" -DatabaseList "Database 1", "Database 2", "Database 3"
Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementScope.
Монопольная область
Любая область, созданная с помощью командлета New-ManagementScope , может быть назначена в качестве монопольной. Чтобы создать монопольную область, используйте те же команды, что и в одном из предыдущих разделов, чтобы создать область на основе фильтра получателей, область на основе фильтра сервера, область на основе списка серверов, область на основе фильтра базы данных или область на основе списка базы данных, а затем добавить в команду параметр Exclusive .
Предупреждение
При создании монопольных областей управления только те пользователи, кому назначены роли с назначенными монопольными областями, содержащими изменяемые объекты, могут получить доступ к этим объектам. Только администраторы, которым назначена роль с монопольной областью, могут получать доступ к этим исключительным (или защищенным) объектам.
В этом примере создается монопольная область на основе фильтра получателей, соответствующая любому пользователю из отдела Executives.
New-ManagementScope "Executive Users Exclusive Scope" -RecipientRestrictionFilter "Department -Eq 'Executives'" -Exclusive
При создании монопольной области необходимо по умолчанию подтвердить создание монопольной области и осведомленность о влиянии монопольной области на существующие назначения неисключительных ролей. Если вы хотите отключить предупреждение, можно использовать параметр Force . В этом примере создается та же область, что и в предыдущем примере, но без предупреждения.
New-ManagementScope "Executive Users Exclusive Scope" -RecipientRestrictionFilter "Department -Eq 'Executives'" -Exclusive -Force
Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementScope.
Шаг 2. Добавление или изменение назначения роли управления
Созданную область необходимо добавить в новое или существующее назначение роли управления.
Если созданную область управления требуется добавить в создаваемое назначение роли управления, обратитесь к следующим разделам:
Если созданную область ролей управления требуется добавить в существующее назначение роли управления, см. следующие разделы: