向用户或 USG 添加角色

适用于：Exchange Server 2013

管理角色分配可以将管理角色分配给用户或通用安全组， (USG) 。 通过将角色分配给用户或 USG，使这些用户能够执行依赖于 cmdlet 或脚本及其在管理角色上定义的参数的任务。

如果要将角色分配给管理角色组或管理角色分配策略，请参阅下列主题：

• 管理角色组

• 管理角色分配策略

如果要将成员添加到角色组或将角色分配策略分配给最终用户，请参阅下列主题：

• 管理角色组成员

• 更改邮箱的分配策略

有关详细信息，请参阅了解基于角色的访问控制。

是否要查找与角色相关的其他管理任务？ 请查看高级权限。

开始前，有必要了解什么？

• 估计完成每个步骤时间：5 分钟

• 您必须先获得权限，然后才能执行此过程或多个过程。 若要查看所需的权限，请参阅 角色管理权限主题中的"角色分配"条目。

• 您必须使用命令行管理程序执行这些过程。

• 虽然可以直接向用户和 USG 分配角色，但向管理员和最终用户授予权限的建议方法是使用管理角色组和管理角色分配策略。 使用角色组和分配策略时，可以简化权限模型。

• 角色分配是累加的。 这意味着，在评估所有角色时，这些角色都会加在一起。 如果将两个角色分配给一个用户，一个角色包含一个 cmdlet，但另一个角色不包含，则该 cmdlet 仍可供用户使用。

  默认情况下，角色分配不授予向其他用户分配角色的能力。 若要使用户能够将角色分配给其他用户或 USG，请参阅 委托角色分配。

• 如果创建具有作用域的分配，范围将覆盖角色的隐式写入范围。 但是，角色的隐式读取作用域仍然适用。 新范围不能返回角色隐式读取范围之外的对象。 有关详细信息，请参阅了解管理角色作用域。

• 本主题中的所有过程都使用 SecurityGroup 参数将角色分配给 USG。 如果要将角色分配给特定用户，请使用 User 参数而不是 SecurityGroup 参数。 每个命令的所有其他语法都是相同的。

• 若要了解本主题中的过程可能适用的键盘快捷键，请参阅 Exchange 管理中心内的键盘快捷键。

创建没有作用域的角色分配

可以创建没有作用域的角色分配。 这样做时，角色的隐式读取和隐式写入作用域都适用。

使用以下语法将角色分配给没有任何作用域的 USG。

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name>

本示例将 Exchange Servers 角色分配给 SeattleAdmins USG。

New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers"

有关语法和参数的详细信息，请参阅 New-ManagementRoleAssignment。

创建具有预定义相对作用域的角色分配

如果预定义的相对范围满足业务需求，则可以将该范围应用于角色分配，而不是创建自定义范围。 有关预定义作用域及其说明的列表，请参阅了解管理角色作用域。

使用以下语法将角色分配给具有预定义作用域的 USG。

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -RecipientRelativeWriteScope < MyDistributionGroups | Organization | Self >

本示例将 Exchange Servers 角色分配给 SeattleAdmins USG 并应用 Organization 预定义作用域。

New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers" -RecipientRelativeWriteScope Organization

有关语法和参数的详细信息，请参阅 New-ManagementRoleAssignment。

创建具有基于收件人筛选器的作用域的角色分配

如果创建了基于收件人筛选器的范围，并且想要将其用于角色分配，则需要在命令中包含范围，以便通过使用 CustomRecipientWriteScope 参数将角色分配给 USG。 如果使用 CustomRecipientWriteScope 参数，则不能使用 RecipientOrganizationalUnitScope 参数。

在向角色分配添加范围之前，需要创建一个范围。 有关详细信息，请参阅 创建常规范围或独占范围。

使用以下语法将角色分配给具有基于收件人筛选器的作用域的 USG。

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -CustomRecipientWriteScope <role scope name>

本示例将 Mail Recipients 角色分配给 Seattle Recipient Admins USG 并应用 Seattle Recipients 作用域。

New-ManagementRoleAssignment -Name "Mail Recipients_Seattle Recipient Admins" -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -CustomRecipientWriteScope "Seattle Recipients"

有关语法和参数的详细信息，请参阅 New-ManagementRoleAssignment。

创建具有基于服务器筛选器、基于数据库筛选器或基于列表的配置作用域的角色分配

如果创建了服务器或数据库筛选器或基于列表的配置范围，并且想要将其用于角色分配，则需要使用 CustomConfigWriteScope 参数在用于将角色分配给 USG 的命令中包含范围。

在向角色分配添加范围之前，需要创建一个范围。 有关详细信息，请参阅 创建常规范围或独占范围。

使用以下语法将角色分配给具有配置作用域的 USG。

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -CustomConfigWriteScope <role scope name>

本示例将 Exchange Servers 角色分配给 MailboxAdmins USG 并应用 Mailbox Servers 作用域。

New-ManagementRoleAssignment -Name "Exchange Servers_MailboxAdmins" -SecurityGroup MailboxAdmins -Role "Exchange Servers" -CustomConfigWriteScope "Mailbox Servers"

前面的示例演示如何添加具有服务器配置范围的角色分配。 添加数据库配置范围的语法相同。 指定数据库范围的名称，而不是服务器范围。

有关语法和参数的详细信息，请参阅 New-ManagementRoleAssignment。

创建具有 OU 作用域的角色分配

如果要将角色的写入范围限定为组织单位 (OU) ，可以直接在 RecipientOrganizationalUnitScope 参数中指定 OU。 如果使用 RecipientOrganizationalUnitScope 参数，则不能使用 CustomRecipientWriteScope 参数。

使用以下语法将角色分配给 USG 并将角色的写入作用域限制为特定 OU。

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -RecipientOrganizationalUnitScope <OU>

本示例将 Mail Recipients 角色分配给 SalesRecipientAdmins USG 并将该分配的作用域限定为 contoso.com 域中的 sales/users OU。

New-ManagementRoleAssignment -Name "Mail Recipients_SalesRecipientAdmins" -SecurityGroup SalesRecipientAdmins -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users

有关语法和参数的详细信息，请参阅 New-ManagementRoleAssignment。

创建具有独占收件人或配置作用域的角色分配

若要创建具有独占收件人或配置范围的独占角色分配，可以使用创建具有基于收件人筛选器的范围的角色分配和使用服务器或数据库筛选器或基于列表的配置范围创建角色分配部分中提供的相同过程。 唯一的区别是，创建具有独占范围的角色分配时，必须指定以下独占参数，具体取决于使用的是独占收件人范围还是独占配置范围：

• 独占收件人范围：使用 ExclusiveRecipientWriteScope 参数，而不是 CustomRecipientWriteScope 参数。

• 独占配置范围：使用 ExclusiveConfigWriteScope 参数，而不是 CustomConfigWriteScope 参数。

执行此过程时，分配了该角色的角色被分配者可以对独占范围中包含的对象执行操作。 有关独占作用域的详细信息，请参阅了解独占作用域。

不能创建同时具有互斥作用域和常规作用域的角色分配。

本示例将 Mail Recipients 角色分配给 Protected User Admins USG 并应用 Protected Users 独占作用域。

New-ManagementRoleAssignment -Name "Mail Recipients_Protected User Admins" -SecurityGroup "Protected User Admins" -Role "Mail Recipients" -ExclusiveRecipientWriteScope "Protected Users"

有关语法和参数的详细信息，请参阅 New-ManagementRoleAssignment。