Создание роли с не заданной областью
Область применения: Exchange Server 2013 г.
Для предоставления администраторам и специализированным пользователям доступа к скриптам Windows PowerShell и командлетам, не предназначенным для Exchange, можно использовать неуправляемую роль управления. Вы можете создать неуправляемую роль верхнего уровня и добавить в нее скрипты или командлеты, отличные от Exchange, или создать роль, основанную на существующей роли верхнего уровня без параметров. После создания и настройки неуправляемой роли ее можно назначить группам ролей управления, пользователям и универсальным группам безопасности (USG). Незапланированные роли не могут быть назначены политикам назначения ролей управления. Дополнительные сведения о неуправляемых ролях см. в разделе Общие сведения о ролях управления.
Предупреждение
Роли с незаданной областью являются полнофункциональными, поскольку к ним не применяются области управления. Это значит, что содержащиеся в них сценарии и командлеты, не относящиеся к серверу Exchange, могут выполняться для любого объекта в организации Exchange. Это необходимо учитывать при добавлении сценариев или командлетов, не относящихся к серверу Exchange, в роль с незаданной областью и при назначении роли с незаданной областью.
Примечание.
Если вы хотите создать роль, содержащую командлеты Exchange, необходимо создать роль, основанную на существующей роли управления. Дополнительные сведения о создании ролей с помощью командлетов Exchange см. в разделе Создание роли.
Ищете другие задачи управления, связанные с ролями? Ознакомьтесь с дополнительными разрешениями.
Что нужно знать перед началом работы
Предполагаемое время для завершения каждой процедуры: 5 минут
Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "Роли управления" в разделе Разрешения для управления ролями .
Для выполнения этих процедур необходимо использовать командную консоль Exchange.
По умолчанию возможность создания ролей с незаданной областью не предусмотрена ни для одной из групп ролей управления. Сначала необходимо назначить роль управления с незаданной областью для пользователя, универсальной группы безопасности или группы ролей, в которой состоит пользователь, после чего у пользователя появится возможность создавать группы ролей. Дополнительные сведения о добавлении роли пользователю, универсальной группе безопасности (USG) или группе ролей см. в следующих разделах:
Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.
Совет
Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по адресу Exchange Server.
Создание роли управления верхнего уровня с незаданной областью
Чтобы открыть доступ к сценариям или командлетам, не относящимся к серверу Exchange, для администраторов или специалистов в организации, необходимо создать роль верхнего уровня с незаданной областью. Сценарии и командлеты, не относящиеся к серверу Exchange, можно добавить только к роли верхнего уровня с незаданной областью, поскольку исходная роль с незаданной областью не наследует параметры других ролей. В этом случае новая роль верхнего уровня с незаданной областью может быть родительской ролью для других ролей с незаданной областью, которые также могут использовать добавленные сценарии и командлеты, не относящиеся к серверу Exchange.
Далее приведены шаги для создания роли верхнего уровня с незаданной областью.
Действие 1. Создание роли верхнего уровня с незаданной областью
Роли верхнего уровня с незаданной областью не имеют родительской роли. Чтобы создать роль без родительского элемента, необходимо указать параметр UnscopedTopLevel . Для создания новой роли используйте следующий синтаксис.
New-ManagementRole <name of new role> -UnscopedTopLevel
В этом примере создается роль верхнего уровня с незаданной областью "ИТ-сценарии".
New-ManagementRole "IT Scripts" -UnscopedTopLevel
После создания роль будет пустой до добавления в нее сценариев или командлетов, не относящихся к серверу Exchange.
Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRole.
Шаг 2а. Добавление записей сценария ролей управления
Чтобы добавить сценарий в новую роль с незаданной областью, выполните этот шаг. Если вы хотите добавить командлет, отличный от Exchange, в новую роль без ролей, используйте шаг 2b.
Чтобы добавить сценарий Windows PowerShell роли верхнего уровня с незаданной областью, необходимо добавить роли запись роли управления. Запись роли содержит имя сценария и параметры сценария, которые необходимо сделать доступными для этой роли.
Скрипт должен находиться в каталоге RemoteScripts в пути установки Microsoft Exchange Server 2013 на каждом сервере Exchange 2013, где пользователи могут подключиться для запуска скрипта. Если у пользователя есть доступ для запуска сценария, но сценарий не размещен на сервере Exchange 2013, к которому подключен пользователь, возникнет ошибка. По умолчанию путь к каталогу RemoteScripts — C:\Program Files\Microsoft\Exchange Server\V15\RemoteScripts.
После того, как сценарий скопирован на соответствующие серверы Exchange 2013 и было решено, какие параметры сценария необходимо использовать, создайте запись роли, используя следующий синтаксис.
Add-ManagementRoleEntry <unscoped top-level role name>\<script filename> -Parameters <parameter 1, parameter 2, parameter...> -Type Script -UnscopedTopLevel
В этом примере скрипт BulkProvisionUsers.ps1 добавляется в роль ИТ-скриптов с параметрами Имя и Расположение .
Add-ManagementRoleEntry "IT Scripts\BulkProvisionUsers.ps1" -Parameters Name, Location -Type Script -UnscopedTopLevel
Примечание.
Командлет Add-ManagementRoleEntry выполняет стандартную проверку, чтобы убедиться, что добавлены только те параметры, которые существуют в сценарии. Но после добавления записи роли никакой дальнейшей проверки не следует. При добавлении или удалении параметров позже необходимо вручную обновлять записи роли, которые содержат сценарий.
Шаг 2б. Добавление записей роли командлета, не относящегося к серверу Exchange
Чтобы добавить командлет, не относящийся к серверу Exchange, в новую роль с незаданной областью, выполните этот шаг. Чтобы добавить сценарий в новую роль с незаданной областью, выполните Step 2a.
Чтобы добавить командлет, отличный от Exchange, к роли верхнего уровня с незаданной областью, необходимо добавить роли запись роли управления. Запись роли содержит оснастку командлета, имя командлета и параметры командлета, которые необходимо сделать доступными для этой роли.
Если в новую роль добавлены командлеты, отличные от Exchange, они должны быть установлены на каждом сервере Exchange 2013, где пользователи могут подключаться для запуска командлетов. Чтобы узнать, как правильно установить и зарегистрировать оснастки Windows PowerShell, содержащие необходимые командлеты, ознакомьтесь с документацией по продукту.
После установки оснастки Windows PowerShell, которая содержит командлеты на соответствующих серверах Exchange 2013, и выбора необходимых параметров командлета создайте запись роли, используя следующий синтаксис.
Add-ManagementRoleEntry <unscoped top-level role name>\<cmdlet name> -PSSnapinName <snap-in name> -Parameters <parameter 1, parameter 2, parameter...> -Type Cmdlet -UnscopedTopLevel
В этом примере в contoso добавляется командлет Set-WidgetConfiguration. Администратор. Командлеты оснастки к роли Командлеты мини-приложения с параметрами База данных и Размер.
Add-ManagementRoleEntry "Widget Cmdlets\Set-WidgetConfiguration" -PSSnapinName Contoso.Admin.Cmdlets -Parameters Database, Size -Type Cmdlet -UnscopedTopLevel
Примечание.
Командлет Add-ManagementRoleEntry выполняет стандартную проверку, чтобы убедиться, что добавлены только те параметры, которые существуют в командлете. Но после добавления записи роли никакой дальнейшей проверки не следует. Если командлет изменен позже и, соответственно, параметры позже добавлены или удалены, необходимо вручную обновить записи роли, которые содержат командлет.
Действие 3. Назначение роли управления
Последним шагом при создании и настройке роли является ее назначение уполномоченному роли.
Важно!
Области управления невозможно настроить для назначений ролей, которые назначают роль с незаданной областью. При выборе создания назначения роли для группы ролей, пользователя или универсальной группы безопасности необходимо выбрать параметр для создания назначения роли без области управления.
Можно назначить новую роль группе ролей, пользователю или универсальной группе безопасности. Дополнительные сведения приведены в следующих разделах:
Создание роли с незаданной областью на основе другой роли с незаданной областью
При наличии роли верхнего уровня или других ролей с незаданной областью на их основе можно создать новые дочерние роли с незаданной областью. Эти дочерние роли с незаданной областью могут содержать подмножество сценариев и командлетов, существующих в родительских ролях с незаданной областью. Это полезно, например, при необходимости передать менее опытному администратору только подмножество сценариев или командлетов, доступных в родительской роли с незаданной областью.
Далее приведены шаги для создания дочерней роли с незаданной областью.
Действие 1. Создание дочерней роли с незаданной областью
Новые дочерние роли с незаданной областью могут быть основаны на существующих ролях с незаданной областью. При создании роли существующая роль и ее записи роли управления копируются в новую роль. Существующая роль становится родительской для новой дочерней роли. При создании роли с незаданной областью на основе другой роли с незаданной областью, необходимо выбрать роль, которая содержит все необходимые командлеты и параметры, а затем удалить ненужные параметры. Дочерние роли с незаданной областью не могут содержать записи роли управления, которые отсутствуют в родительской роли.
Примечание.
Если вам нужно создать неуправляемую роль, содержащую скрипты или командлеты, не относящиеся к Exchange, которые не существуют ни в одной другой роли без параметров, создайте неуправляемую роль верхнего уровня. Дополнительные сведения см. в подразделе Create an unscoped top-level management role выше в этом разделе.
Для создания новой роли используйте следующий синтаксис.
New-ManagementRole -Parent <existing unscoped role to copy> -Name <name of new unscoped role>
В этом примере копируется роль "Глобальные ИТ-сценарии" и ее записи роли управления в роль "Диагностические ИТ-сценарии".
New-ManagementRole -Parent "IT Global Scripts" -Name "Diagnostic IT Scripts"
Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRole.
Действие 2. Изменение записей роли управления определенной роли
После создания роли необходимо изменить записи роли. Можно полностью удалить запись роли, в результате чего будет окончательно закрыт доступ к связанному сценарию и командлету, не относящемуся к серверу Exchange. Или можно удалить параметры из записи роли, что позволит закрыть доступ к определенным параметрам связанного сценария или командлета, не относящегося к серверу Exchange.
Невозможно добавить записи роли или их параметры, если они не существуют в родительской роли. Так как в первом шаге была создана роль из родительской роли, невозможно добавлять дополнительные записи роли или параметры записей, потому что они не существуют в родительской роли.
При изменении записи роли можно выполнить одно из следующих действий:
Удалить полностью одну запись роли.
Удалить полностью несколько записей роли.
Удалить параметры из записи роли.
Инструкции по удалению записи роли из новой роли см. в разделе Удаление записи роли из роли.
Действие 3. Назначение роли управления
Последним шагом при создании и настройке роли является ее назначение уполномоченному роли.
Важно!
Области управления невозможно настроить для назначений ролей, которые назначают роль с незаданной областью. При выборе создания назначения роли для группы ролей, пользователя или универсальной группы безопасности необходимо выбрать параметр для создания назначения роли без области управления.
Можно назначить новую роль группе ролей, пользователю или универсальной группе безопасности. Дополнительные сведения приведены в следующих разделах: