创建常规或独占作用域
适用于: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上一次修改主题: 2012-07-23
管理角色作用域确定向用户提供哪些对象,以便可以使用 cmdlet 及向其分配的参数更改这些对象。通过添加管理作用域,您可以配置管理角色分配,以便用户可以管理组织中的特定服务器、数据库、收件人和其他对象,同时限制更改其他对象。
.gif "重要") 重要说明: |
|---|
| 创建常规或独占作用域时,将覆盖在分配的管理角色上定义的写入作用域。不能覆盖在管理角色上配置的读取作用域。 |
可以创建自定义管理作用域以及添加或更改管理角色分配。如果要使用预制的管理作用域或组织单位 (OU) 管理作用域创建管理角色分配,请参阅向用户或 USG 添加角色。
有关 Microsoft Exchange Server 2010 中管理角色作用域和分配的详细信息,请参阅下列主题:
要查找与作用域相关的其他管理任务吗?请查看管理高级权限。
步骤 1:创建自定义作用域
您必须先获得权限,然后才能执行此过程。若要查看所需的权限,请参阅角色管理权限主题中的“管理角色”条目。
.gif "注释") 注意: |
|---|
| 无法使用 EMC 创建自定义作用域。 |
若要创建自定义作用域,请选择下列作用域类型之一:
收件人筛选器作用域
使用 New-ManagementScope cmdlet 的 RecipientRestrictionFilter 参数创建基于收件人筛选器的作用域。创建收件人筛选器时,除了要筛选的收件人属性外,您还可以指定在其中运行筛选器查询的 OU。指定基础 OU 时,可以进一步限制该角色的写入作用域。
有关管理作用域筛选器的详细信息,请参阅了解管理角色作用域筛选。
使用以下语法创建具有基础 OU 的域限制筛选器作用域。
New-ManagementScope -Name <scope name> -RecipientRestrictionFilter <filter query> [-RecipientRoot <OU>]
此示例创建一个包含 contoso.com/Sales OU 中所有邮箱的作用域。
New-ManagementScope -Name "Mailboxes in Sales OU" -RecipientRestrictionFilter { RecipientType -eq 'UserMailbox' } -RecipientRoot "contoso.com/Sales OU"
| 注意: |
|---|
| 如果希望将筛选器应用到管理角色的整个隐式读取作用域而不只是特定 OU 内的读取作用域,则可以省略 RecipientRoot 参数。 |
有关详细的语法和参数信息,请参阅 New-ManagementScope。
服务器筛选器配置作用域
使用 New-ManagementScope cmdlet 上的 ServerRestrictionFilter 参数创建基于服务器筛选器的配置作用域。使用服务器筛选器可以创建一个作用域,该作用域仅适用于与您指定的筛选器匹配的服务器。
有关管理作用域筛选器的详细信息和可筛选服务器属性的列表,请参阅了解管理角色作用域筛选。
使用以下语法创建服务器筛选器作用域。
New-ManagementScope -Name <scope name> -ServerRestrictionFilter <filter query>
此示例创建一个包含 Seattle AD (Active Directory) 站点内的所有服务器的作用域。
New-ManagementScope -Name "Servers in Seattle AD site" -ServerRestrictionFilter { ServerSite -eq 'Seattle' }
有关详细的语法和参数信息,请参阅 New-ManagementScope。
服务器列表配置作用域
使用 New-ManagementScope cmdlet 的 ServerList 参数创建基于服务器列表的配置作用域。使用服务器列表作用域可以创建一个作用域,该作用域仅适用于您在列表中指定的服务器。
使用以下语法创建服务器列表作用域。
New-ManagementScope -Name <scope name> -ServerList <server 1>, <server 2...>
此示例创建一个仅适用于 MBX1、MBX3 和 MBX5 的作用域。
New-ManagementScope -Name "Mailbox servers" -ServerList MBX1,MBX3,MBX5
有关详细的语法和参数信息,请参阅 New-ManagementScope。
数据库筛选器配置作用域
基于数据库筛选器的配置作用域是使用 New-ManagementScope cmdlet 上的 DatabaseRestrictionFilter 参数创建的。使用数据库筛选器可以创建一个作用域,该作用域仅适用于与您指定的筛选器匹配的数据库。
| 重要说明: |
|---|
| 与数据库作用域关联的角色分配仅适用于连接到运行 Microsoft Exchange Server 2010 Service Pack 1 (SP1) 的服务器的用户。如果分配了与数据库作用域关联的角色分配的用户连接到 Exchange 2010 的正式发布 (RTM) 版本,则角色分配不适用于此用户,并且不会将角色分配提供的任何权限授予该用户。 |
有关管理作用域筛选器的详细信息和可筛选数据库属性的列表,请参阅了解管理角色作用域筛选。
使用以下语法创建数据库限制筛选器。
New-ManagementScope -Name <scope name> -DatabaseRestrictionFilter <filter query>
本示例将创建一个作用域,该作用域包括数据库的 Name 属性中含有字符串“Executive”的所有数据库。
New-ManagementScope -Name "Executive Databases" -DatabaseRestrictionFilter { Name -Like '*Executive*' }
有关详细的语法和参数信息,请参阅 New-ManagementScope。
数据库列表配置作用域
基于数据库列表的配置作用域是使用 New-ManagementScope cmdlet 上的 DatabaseList 参数创建的。使用数据库列表作用域可以创建一个作用域,该作用域仅适用于您在列表中指定的数据库。
| 重要说明: |
|---|
| 与数据库作用域关联的角色分配仅适用于连接到运行 Microsoft Exchange Server 2010 Service Pack 1 (SP1) 的服务器的用户。如果分配了与数据库作用域关联的角色分配的用户连接到 Exchange 2010 的正式发布 (RTM) 版本,则角色分配不适用于此用户,并且不会将角色分配提供的任何权限授予该用户。 |
使用以下语法创建数据库列表作用域。
New-ManagementScope -Name <scope name> -DatabaseList <database 1>, <database 2...>
本示例将创建仅适用于数据库 Database 1、Database 2 和 Database 3 的作用域。
New-ManagementScope -Name "Primary databases" -DatabaseList "Database 1", "Database 2", "Database 3"
有关详细的语法和参数信息,请参阅 New-ManagementScope。
独占作用域
可将使用 New-ManagementScope cmdlet 创建的任何作用域指定为独占作用域。若要创建独占作用域,请在上述某一节中使用相同命令创建基于收件人筛选器的作用域、基于服务器筛选器的作用域、基于服务器列表的作用域、基于数据库筛选器的作用域或基于数据库列表的作用域,然后向该命令中添加 Exclusive 开关。
.gif "小心") 警告: |
|---|
| 在创建独占管理作用域时,仅分配有包含要修改对象的独占作用域的角色接受者才可以访问这些对象。只有分配了具有独占作用域角色的管理员才可以访问这些独占或受保护的对象。 |
此示例创建基于收件人筛选器的独占作用域,该作用域与 Executives 部门中的任何用户匹配。
New-ManagementScope "Executive Users Exclusive Scope" -RecipientRestrictionFilter { Department -Eq "Executives" } -Exclusive
默认情况下,创建独占作用域时,将要求您确认已创建独占作用域且了解独占作用域对现有非独占角色分配造成的影响。如果您希望取消此警告,则可以使用 Force 开关。此示例创建一个与上一示例相同的作用域,但没有警告。
New-ManagementScope "Executive Users Exclusive Scope" -RecipientRestrictionFilter { Department -Eq "Executives" } -Exclusive -Force
有关详细的语法和参数信息,请参阅 New-ManagementScope。
步骤 2:添加或更改管理角色分配
您必须先获得权限,然后才能执行此过程。若要查看所需的权限,请参阅角色管理权限主题中的“角色分配”条目。
| 注意: |
|---|
| 无法使用 EMC 添加或更改管理角色分配。 |
创建作用域后,必须将其添加到新建或现有的管理角色分配。
如果创建了一个管理作用域并要将其添加到即将创建的新管理角色分配,请参阅下列主题:
如果创建了一个管理角色作用域并要将其添加到现有的管理角色分配,请参阅下列主题:
© 2010 Microsoft Corporation。保留所有权利。