Добавление роли в группу ролей

Применимо к: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Последнее изменение раздела: 2012-07-23

Добавление роли управления в группу ролей управления является наиболее оптимальным и самым простым способом предоставления разрешений группе администраторов или специалистов в Microsoft Exchange Server 2010. Если следует предоставить пользователям, являющимся членами группы ролей, возможность управлять определенной возможностью, следует добавить в группу ролей роль управления, которая отвечает за управление этой возможностью. После добавления роли членам группы ролей предоставляются разрешения, обеспечиваемые данной ролью.

Дополнительные сведения о группах ролей в Exchange 2010 см. в разделе Общие сведения о группах ролей управления.

Необходимы сведения о других задачах управления, связанных с администраторами и специалистами? См. раздел Управление администраторами и специалистами.

Использование панели управления Exchange для добавления роли управления в группу ролей

Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Группы ролей» в разделе Разрешения управления ролями.

Важно!

Панель управления Exchange нельзя использовать для добавления ролей в группу ролей, если командная консоль Exchange использовалась для настройки нескольких областей ролей управления или исключительных областей для группы ролей. Если для группы ролей было настроено несколько областей ролей управления или исключительных областей, для добавления ролей в группу ролей следует использовать описанные ниже в разделе процедуры для командной консоли. Дополнительные сведения об областях действия для ролей управления см. в разделе Общие сведения об областях применения ролей управления.

1. В консоли управления Exchange перейдите к узлу Инструменты в дереве консоли.

2. В рабочей области дважды щелкните Редактор пользователей с управлением доступом на основе ролей (RBAC), чтобы открыть редактор пользователей в панели управления Exchange (ECP).

3. В полях Домен и имя пользователя и Пароль укажите учетные данные для учетной записи с разрешениями, необходимыми для открытия редактора пользователей в панели управления Exchange. Нажмите кнопку Войти.

4. Перейдите на вкладку Administrator Roles (Роли администратора).

5. Выберите группу ролей, в которую необходимо добавить одну или несколько ролей, и нажмите кнопку Сведения.

6. В области Роли нажмите кнопку Добавить.

7. Выберите одну или несколько ролей для добавления в группу ролей и нажмите кнопку ОК.

8. Нажмите кнопку Сохранить, чтобы сохранить изменения в группе ролей.

Создание назначения роли без области с помощью командной консоли

Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Группы ролей» в разделе Разрешения управления ролями.

Можно создать назначение роли без области между ролью и группой ролей. При этом применяются неявные области чтения и записи роли.

Используйте следующий синтаксис для назначения группе ролей роли без области. Если имя назначения роли не задано, оно создается автоматически.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name>

В этом примере группе ролей Seattle Compliance назначается роль управления Transport Rules.

New-ManagementRoleAssignment -SecurityGroup "Seattle Compliance" -Role "Transport Rules"

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

Создание назначения роли с предварительно определенной областью с помощью командной консоли

Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Группы ролей» в разделе Разрешения управления ролями.

Если предварительно определенная область соответствует потребностям организации, можно применить эту область к назначению роли, а не создавать новую. Список предварительно определенных областей и их описания см. в разделе Общие сведения об областях применения ролей управления.

Дополнительные сведения о назначениях ролей см. в разделе Общие сведения о назначениях ролей управления.

Используйте следующий синтаксис для назначения группе ролей роли с предварительно определенной областью. Если имя назначения роли не задано, оно создается автоматически.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -RecipientRelativeWriteScope < MyGAL | MyDistributionGroups | Organization | Self >

В этом примере роль Message Tracking назначается группе ролей Enterprise Support, затем применяется предварительно определенная область Organization.

New-ManagementRoleAssignment -SecurityGroup "Enterprise Support" -Role "Message Tracking" -RecipientRelativeWriteScope Organization

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

Создание назначения роли с областью, основанной на фильтре получателей, с помощью командной консоли

Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Группы ролей» в разделе Разрешения управления ролями.

При создании области, основанной на фильтре получателей, необходимо включить эту область в команду, используемую для назначения роли группе ролей, используя для этого параметр CustomRecipientWriteScope.

Также можно включить область записи конфигурации при создании назначения роли с областью, основанной на фильтре получателей.

Дополнительные сведения о назначениях ролей и областях см. в следующих разделах:

• Общие сведения о назначениях ролей управления

• Общие сведения об областях применения ролей управления

Используйте следующий синтаксис для назначения роли группе ролей с областью, основанной на фильтре получателей. Если имя назначения роли не задано, оно создается автоматически.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -CustomRecipientWriteScope <role scope name>

В этом примере роль Message Tracking назначается группе ролей Seattle Recipient Admins, затем применяется область Seattle Recipients.

New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Message Tracking" -CustomRecipientWriteScope "Seattle Recipients"

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

Создание назначения роли с областью конфигурации с помощью командной консоли

Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Группы ролей» в разделе Разрешения управления ролями.

При создании области, основанной на списке или фильтре конфигураций серверов или баз данных, необходимо включить эту область в команду, используемую для назначения роли группе ролей, используя для этого параметр CustomConfigWriteScope.

Также можно включить область записи получателей при создании назначения роли с областью, основанной на фильтре конфигураций.

Дополнительные сведения о назначениях ролей и областях управления см. в следующих разделах:

• Общие сведения о назначениях ролей управления

• Общие сведения об областях применения ролей управления

Используйте следующий синтаксис для назначения группе ролей роли с областью конфигурации. Если имя назначения роли не задано, оно создается автоматически.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -CustomConfigWriteScope <role scope name>

В этом примере роль Databases назначается группе ролей Seattle Server Admins, затем применяется область Seattle Servers.

New-ManagementRoleAssignment -SecurityGroup "Seattle Server Admins" -Role "Databases" -CustomConfigWriteScope "Seattle Servers"

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

Создание назначения роли с областью подразделений с помощью командной консоли

Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Группы ролей» в разделе Разрешения управления ролями.

Если необходимо назначить подразделению область записи роли, можно указать подразделение напрямую в параметре RecipientOrganizationalUnitScope.

Дополнительные сведения о назначениях ролей и областях управления см. в следующих разделах:

• Общие сведения о назначениях ролей управления

• Общие сведения об областях применения ролей управления

Используйте приведенную ниже команду для назначения роли группе ролей и ограничения области записи роли определенным подразделением. Если имя назначения роли не задано, оно создается автоматически.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -RecipientOrganizationalUnitScope <OU>

В этом примере роль Mail Recipients назначается группе ролей Seattle Recipient Admins, затем область действия этого назначения сужается до подразделения Sales\Users в домене Contoso.com.

New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

Другие задачи

После добавления роли в группу ролей можно выполнить следующие действия:

• Просмотр списка ролей группы ролей

• Удаление роли из группы ролей

• Добавление участников в группу роли

• Просмотр участников группы ролей

• Добавление или удаление делегата группы ролей

• Изменение области назначений ролей в группе ролей

 © Корпорация Майкрософт (Microsoft Corporation), 2010. Все права защищены.