Данная статья переведена с помощью средств машинного перевода. Чтобы просмотреть ее на английском языке, установите флажок Английский. Вы также можете просматривать английский текст во всплывающем окне, наводя указатель мыши на переведенный текст.
Перевод
Английский

Создание роли с незаданной областью

 

Применимо к:Exchange Server 2013

Последнее изменение раздела:2014-06-09

Роль управления с незаданной областью можно использовать для предоставления администраторам и специалистам доступа к сценариям Windows PowerShell и командлетам, не относящимся к серверу Exchange. Можно создать роль верхнего уровня с незаданной областью и добавить к ней сценарии или командлеты, не относящиеся к серверу Exchange. Или можно создать роль на основе существующей роли верхнего уровня с незаданной областью. После создания и настройки роли с незаданной областью эту роль можно назначить для групп ролей управления, пользователей и универсальных групп безопасности. Роли с незаданной областью невозможно назначить для политик назначения роли управления. Дополнительные сведения о ролях с незаданной областью см. в разделе Общие сведения о ролях управления.

Внимание!Внимание!
Роли с незаданной областью являются полнофункциональными, поскольку к ним не применяются области управления. Это значит, что содержащиеся в них сценарии и командлеты, не относящиеся к серверу Exchange, могут выполняться для любого объекта в организации Exchange. Это необходимо учитывать при добавлении сценариев или командлетов, не относящихся к серверу Exchange, в роль с незаданной областью и при назначении роли с незаданной областью.
ПримечаниеПримечание.
Чтобы создать роль, содержащую командлеты Exchange, необходимо создать роль на основе существующей роли управления. Дополнительные сведения о создании ролей с командлетами Exchange см. в разделе Создание роли.

Необходимы сведения о других задачах управления, связанных с ролями? см. в разделе Дополнительные разрешения.

  • Предполагаемое время для завершения каждой процедуры: 5 минут

  • Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в статье Запись "Роли управления" в разделе Разрешения управления ролями.

  • Для выполнения этих процедур необходимо использовать командную консоль Exchange.

  • По умолчанию возможность создания ролей с незаданной областью не предусмотрена ни для одной из групп ролей управления. Сначала необходимо назначить роль управления с незаданной областью для пользователя, универсальной группы безопасности или группы ролей, в которой состоит пользователь, после чего у пользователя появится возможность создавать группы ролей. Дополнительные сведения о добавлении роли пользователю, универсальной группе безопасности (USG) или группе ролей см. в следующих разделах:

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.

СоветСовет.
Возникли проблемы? Обратитесь за помощью к участникам форумов, посвященных Exchange. Посетите форумы по таким продуктам: Exchange Server, Exchange Online или Exchange Online Protection.

Чтобы открыть доступ к сценариям или командлетам, не относящимся к серверу Exchange, для администраторов или специалистов в организации, необходимо создать роль верхнего уровня с незаданной областью. Сценарии и командлеты, не относящиеся к серверу Exchange, можно добавить только к роли верхнего уровня с незаданной областью, поскольку исходная роль с незаданной областью не наследует параметры других ролей. В этом случае новая роль верхнего уровня с незаданной областью может быть родительской ролью для других ролей с незаданной областью, которые также могут использовать добавленные сценарии и командлеты, не относящиеся к серверу Exchange.

Далее приведены шаги для создания роли верхнего уровня с незаданной областью.

Роли верхнего уровня с незаданной областью не имеют родительской роли. Чтобы создать роль без родительской роли, необходимо указать параметр UnscopedTopLevel. Для создания новой роли используйте следующий синтаксис.

New-ManagementRole <name of new role> -UnscopedTopLevel

В этом примере создается роль верхнего уровня с незаданной областью "ИТ-сценарии".

New-ManagementRole "IT Scripts" -UnscopedTopLevel

После создания роль будет пустой до добавления в нее сценариев или командлетов, не относящихся к серверу Exchange.

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRole.

Чтобы добавить сценарий в новую роль с незаданной областью, выполните этот шаг. Чтобы добавить командлет, не относящийся к серверу Exchange, в новую роль с незаданной областью, выполните Step 2b.

Чтобы добавить сценарий Windows PowerShell роли верхнего уровня с незаданной областью, необходимо добавить роли запись роли управления. Запись роли содержит имя сценария и параметры сценария, которые необходимо сделать доступными для этой роли.

Сценарий должен находиться в каталоге RemoteScripts в пути установки Microsoft Exchange Server 2013 на каждом сервере с Exchange 2013, к которому будут подключаться пользователи для запуска этого сценария. Если у пользователя есть доступ для запуска сценария, но сценарий не размещен на сервере Exchange 2013, к которому подключен пользователь, возникнет ошибка. Путь к каталогу RemoteScripts по умолчанию: C:\Program Files\Microsoft\Exchange Server\V15\RemoteScripts.

После того, как сценарий скопирован на соответствующие серверы Exchange 2013 и было решено, какие параметры сценария необходимо использовать, создайте запись роли, используя следующий синтаксис.

Add-ManagementRoleEntry <unscoped top-level role name>\<script filename> -Parameters <parameter 1, parameter 2, parameter...> -Type Script -UnscopedTopLevel

В этом примере добавляется сценарий BulkProvisionUsers.ps1 к роли IT Scripts с параметрами Name и Location.

Add-ManagementRoleEntry "IT Scripts\BulkProvisionUsers.ps1" -Parameters Name, Location -Type Script -UnscopedTopLevel
ПримечаниеПримечание.
Командлет Add-ManagementRoleEntry выполняет стандартную проверку, чтобы убедиться, что добавлены только те параметры, которые существуют в сценарии. Но после добавления записи роли никакой дальнейшей проверки не следует. При добавлении или удалении параметров позже необходимо вручную обновлять записи роли, которые содержат сценарий.

Чтобы добавить командлет, не относящийся к серверу Exchange, в новую роль с незаданной областью, выполните этот шаг. Чтобы добавить сценарий в новую роль с незаданной областью, выполните Step 2a.

Чтобы добавить командлет, отличный от Exchange, к роли верхнего уровня с незаданной областью, необходимо добавить роли запись роли управления. Запись роли содержит оснастку командлета, имя командлета и параметры командлета, которые необходимо сделать доступными для этой роли.

При добавлении командлетов, отличных от Exchange, в новую роль, командлеты должны быть установлены на каждом сервере Exchange 2013, к которым будут подключаться пользователи для выполнения командлетов. Сведения о том, как правильно установить и зарегистрировать оснастки Windows PowerShell, содержащие необходимые командлеты, см. в документации к продукту.

После установки оснастки Windows PowerShell, которая содержит командлеты на соответствующих серверах Exchange 2013, и выбора необходимых параметров командлета создайте запись роли, используя следующий синтаксис.

Add-ManagementRoleEntry <unscoped top-level role name>\<cmdlet name> -PSSnapinName <snap-in name> -Parameters <parameter 1, parameter 2, parameter...> -Type Cmdlet -UnscopedTopLevel

В этом примере добавляется командлет Set-WidgetConfiguration в оснастке Contoso.Admin.Cmdlets для роли Widget Cmdlets с параметрами Database и Size.

Add-ManagementRoleEntry "Widget Cmdlets\Set-WidgetConfiguration" -PSSnapinName Contoso.Admin.Cmdlets -Parameters Database, Size -Type Cmdlet -UnscopedTopLevel
ПримечаниеПримечание.
Командлет Add-ManagementRoleEntry выполняет стандартную проверку, чтобы убедиться, что добавлены только те параметры, которые существуют в командлете. Но после добавления записи роли никакой дальнейшей проверки не следует. Если командлет изменен позже и, соответственно, параметры позже добавлены или удалены, необходимо вручную обновить записи роли, которые содержат командлет.

Последним шагом при создании и настройке роли является ее назначение уполномоченному роли.

ВажноВажно!
Области управления невозможно настроить для назначений ролей, которые назначают роль с незаданной областью. При выборе создания назначения роли для группы ролей, пользователя или универсальной группы безопасности необходимо выбрать параметр для создания назначения роли без области управления.

Можно назначить новую роль группе ролей, пользователю или универсальной группе безопасности. Дополнительные сведения приведены в следующих разделах:

При наличии роли верхнего уровня или других ролей с незаданной областью на их основе можно создать новые дочерние роли с незаданной областью. Эти дочерние роли с незаданной областью могут содержать подмножество сценариев и командлетов, существующих в родительских ролях с незаданной областью. Это полезно, например, при необходимости передать менее опытному администратору только подмножество сценариев или командлетов, доступных в родительской роли с незаданной областью.

Далее приведены шаги для создания дочерней роли с незаданной областью.

Новые дочерние роли с незаданной областью могут быть основаны на существующих ролях с незаданной областью. При создании роли существующая роль и ее записи роли управления копируются в новую роль. Существующая роль становится родительской для новой дочерней роли. При создании роли с незаданной областью на основе другой роли с незаданной областью, необходимо выбрать роль, которая содержит все необходимые командлеты и параметры, а затем удалить ненужные параметры. Дочерние роли с незаданной областью не могут содержать записи роли управления, которые отсутствуют в родительской роли.

ПримечаниеПримечание.
Чтобы создать роль с незаданной областью, которая будет содержать сценарии и командлеты, не относящиеся к серверу Exchange, отсутствующие в любой другой роли с незаданной областью, необходимо создать роль верхнего уровня с незаданной областью. Дополнительные сведения см. в подразделе Create an unscoped top-level management role выше в этом разделе.

Для создания новой роли используйте следующий синтаксис.

New-ManagementRole -Parent <existing unscoped role to copy> -Name <name of new unscoped role>

В этом примере копируется роль "Глобальные ИТ-сценарии" и ее записи роли управления в роль "Диагностические ИТ-сценарии".

New-ManagementRole -Parent "IT Global Scripts" -Name "Diagnostic IT Scripts"

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRole.

После создания роли необходимо изменить записи роли. Можно полностью удалить запись роли, в результате чего будет окончательно закрыт доступ к связанному сценарию и командлету, не относящемуся к серверу Exchange. Или можно удалить параметры из записи роли, что позволит закрыть доступ к определенным параметрам связанного сценария или командлета, не относящегося к серверу Exchange.

Невозможно добавить записи роли или их параметры, если они не существуют в родительской роли. Так как в первом шаге была создана роль из родительской роли, невозможно добавлять дополнительные записи роли или параметры записей, потому что они не существуют в родительской роли.

При изменении записи роли можно выполнить одно из следующих действий:

  • Удалить полностью одну запись роли.

  • Удалить полностью несколько записей роли.

  • Удалить параметры из записи роли.

Инструкции по удалению записи роли из новой роли см. в разделе Удаление записи роли из роли.

Последним шагом при создании и настройке роли является ее назначение уполномоченному роли.

ВажноВажно!
Области управления невозможно настроить для назначений ролей, которые назначают роль с незаданной областью. При выборе создания назначения роли для группы ролей, пользователя или универсальной группы безопасности необходимо выбрать параметр для создания назначения роли без области управления.

Можно назначить новую роль группе ролей, пользователю или универсальной группе безопасности. Дополнительные сведения приведены в следующих разделах:

 
Показ: