Создание связанной группы ролей
Применимо к: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Последнее изменение раздела: 2012-07-23
Связанная группа ролей управления может использоваться для включения участников универсальной группы безопасности во внешнем лесу Служба каталогов Active Directory, чтобы управлять организацией Microsoft Exchange Server 2010 в лесу ресурсов Служба каталогов Active Directory. При связывании универсальной группы безопасности во внешнем лесу со связанной группой ролей участникам универсальной группы безопасности предоставляются все разрешения ролей управления, назначенные для связанной группы ролей. Дополнительные сведения о связанных группах ролей см. в разделе Общие сведения о группах ролей управления.
.gif "Важно") Важно! |
|---|
| Чтобы добавить или удалить участников связанной группы ролей, следует добавить или удалить участников внешней универсальной группы безопасности во внешнем лесу Служба каталогов Active Directory. Невозможно использовать командлеты Add-RoleGroupMember, Remove-RoleGroupMember или Update-RoleGroupMember для изменения членства в связанной группе ролей. |
Необходимы сведения о других задачах управления, связанных с администраторами и специалистами? См. раздел Управление администраторами и специалистами.
Предварительные условия
Для настройки связанной группы ролей требуется как минимум одностороннее доверие, установленное между лесом ресурсов Служба каталогов Active Directory, в котором будет храниться связанная группа ролей, и внешним лесом Служба каталогов Active Directory, где будут храниться пользователи или универсальные группы безопасности. Лес ресурсов должен иметь отношения доверия с внешним лесом.
Необходимо иметь следующие сведения о внешнем лесе Служба каталогов Active Directory:
Учетные данные Для доступа к внешнему лесу Служба каталогов Active Directory необходимо иметь имя пользователя и пароль. Эти сведения используются с параметром LinkedCredential в командлете New-RoleGroup.
Контроллер домена Необходимо иметь полное доменное имя (FQDN) контроллера домена Служба каталогов Active Directory во внешнем лесе Служба каталогов Active Directory. Эти сведения используются с параметром LinkedDomainController в командлете New-RoleGroup.
Внешняя универсальная группа безопасности Необходимо иметь полное имя универсальной группы безопасности во внешнем лесу Служба каталогов Active Directory, содержащем участников, которых необходимо сопоставить со связанной группой ролей. Эти сведения используются с параметром LinkedForeignGroup в командлете New-RoleGroup.
Использование командной консоли для создания связанной группы ролей без области
Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Группы ролей» в разделе Разрешения управления ролями.
.gif "Примечание") Примечание. |
|---|
| Консоль управления Exchange невозможно использовать для создания связанной группы ролей без области. |
Чтобы создать связанную группу ролей и назначить роли управления для этой группы, выполните следующие действия:
Сохраните учетные данные внешнего леса Служба каталогов Active Directory в переменной.
$ForeignCredential = Get-CredentialСоздайте связанную группу ролей, используя следующую синтаксическую конструкцию.
New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -Roles <role1, role2, role3...>Добавьте или удалите участников внешней универсальной группы безопасности с помощью средства «Пользователи и компьютеры Служба каталогов Active Directory» на компьютере во внешнем лесу Служба каталогов Active Directory.
В данном примере выполняется следующее:
Извлекаются учетные данные внешнего леса Служба каталогов Active Directory с именем users.contoso.com. Эти данные используются для подключения к контроллеру домена DC01.users.contoso.com во внешнем лесу.
Создается связанная группа ролей с именем «Группа ролей для соответствия требованиям» в лесу ресурсов, в котором установлен сервер Exchange 2010.
Новая группа ролей связывается с универсальной группой безопасности «Администраторы по соответствию требованиям» во внешнем лесу users.contoso.com Служба каталогов Active Directory.
Связанной группе ролей назначаются роли управления правилами транспорта и ведением журнала.
$ForeignCredential = Get-Credential
New-RoleGroup "Compliance Role Group" -LinkedForeignGroup "Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles "Transport Rules", "Journaling"
Дополнительные сведения о синтаксисе и параметрах см. в разделе New-RoleGroup.
Использование командной консоли для создания связанной группы ролей с настраиваемой областью управления
Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Группы ролей» в разделе Разрешения управления ролями.
| Примечание. |
|---|
| Консоль управления Exchange невозможно использовать для создания связанной группы ролей с настраиваемой областью управления. |
Можно создавать связанные группы ролей с настраиваемыми областями управления получателями, настраиваемыми областями управления конфигурацией или обоих видов. Чтобы создать связанную группу ролей и назначить для этой группы роли управления с настраиваемыми областями, выполните следующие действия:
Сохраните учетные данные внешнего леса Служба каталогов Active Directory в переменной.
$ForeignCredential = Get-CredentialСоздайте связанную группу ролей, используя следующую синтаксическую конструкцию.
New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -CustomConfigWriteScope <name of configuration scope> -CustomRecipientWriteScope <name of recipient scope> -LinkedCredential $ForeignCredential -Roles <role1, role2, role3...>Добавьте или удалите участников внешней универсальной группы безопасности с помощью средства «Пользователи и компьютеры Служба каталогов Active Directory» на компьютере во внешнем лесу Служба каталогов Active Directory.
В данном примере выполняется следующее:
Извлекаются учетные данные внешнего леса Служба каталогов Active Directory с именем users.contoso.com. Эти данные используются для подключения к контроллеру домена DC01.users.contoso.com во внешнем лесу.
Создается связанная группа ролей с именем «Группа ролей для соответствия требованиям Сиэтла» в лесу ресурсов, в котором установлен Exchange 2010.
Новая группа ролей связывается с универсальной группой безопасности «Администраторы по соответствию требованиям Сиэтла» во внешнем лесу users.contoso.com Служба каталогов Active Directory.
Новой связанной группе ролей с настраиваемой областью получателей «Получатели Сиэтла» назначаются роли управления правилами транспорта и ведением журнала.
$ForeignCredential = Get-Credential
New-RoleGroup "Seattle Compliance Role Group" -LinkedForeignGroup "Seattle Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -CustomRecipientWriteScope "Seattle Recipients" -Roles "Transport Rules", "Journaling"
Дополнительные сведения об областях управления см. в разделе Общие сведения об областях применения ролей управления.
Дополнительные сведения о синтаксисе и параметрах см. в разделе New-RoleGroup.
Использование командной консоли для создания связанной группы ролей с областью подразделения
Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Группы ролей» в разделе Разрешения управления ролями.
| Примечание. |
|---|
| Консоль управления Exchange невозможно использовать для создания группы ролей с областью подразделения. |
Можно создавать связанные группы ролей, использующие область получателя подразделения. Чтобы создать связанную группу ролей и назначить для этой группы роли управления с областью подразделения, выполните следующие действия:
Сохраните учетные данные внешнего леса Служба каталогов Active Directory в переменной.
$ForeignCredential = Get-CredentialСоздайте связанную группу ролей, используя следующую синтаксическую конструкцию.
New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -RecipientOrganizationalUnitScope <OU name> -Roles <role1, role2, role3...>Добавьте или удалите участников внешней универсальной группы безопасности с помощью средства «Пользователи и компьютеры Служба каталогов Active Directory» на компьютере во внешнем лесу Служба каталогов Active Directory.
В данном примере выполняется следующее:
Извлекаются учетные данные внешнего леса Служба каталогов Active Directory с именем users.contoso.com. Эти данные используются для подключения к контроллеру домена DC01.users.contoso.com во внешнем лесу.
Создается связанная группа ролей с именем «Группа ролей для соответствия требованиям руководителей» в лесу ресурсов, в котором установлен сервер Exchange 2010.
Новая группа ролей связывается с универсальной группой безопасности «Администраторы по соответствию требованиям руководителей» во внешнем лесу users.contoso.com Служба каталогов Active Directory.
Назначаются роли управления правилами транспорта и ведением журнала для новой связанной группы ролей с областью получателей подразделения «Руководители».
$ForeignCredential = Get-Credential
New-RoleGroup "Executives Compliance Role Group" -LinkedForeignGroup "Executives Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -RecipientOrganizationalUnitScope "Executives OU" -Roles "Transport Rules", "Journaling"
Дополнительные сведения об областях управления см. в разделе Общие сведения об областях применения ролей управления.
Дополнительные сведения о синтаксисе и параметрах см. в разделе New-RoleGroup.
Другие задачи
После создания связанной группы ролей можно выполнить следующие действия:
© Корпорация Майкрософт (Microsoft Corporation), 2010. Все права защищены.