创建角色

适用于：Exchange Server 2013

可以创建管理角色、更改管理角色条目、根据需要添加范围，然后将该角色分配给角色受托人。 应很少需要执行此过程。 建议检查是否可以使用内置管理角色，而不是创建管理角色。 有关内置管理角色的列表，请参阅 内置管理角色。

有关 Microsoft Exchange Server 2013 中管理角色的详细信息，请参阅了解管理角色。

是否要查找与角色相关的其他管理任务？ 请查看高级权限。

开始前，有必要了解什么？

• 估计完成该过程的时间：10 分钟

• 您必须先获得权限，然后才能执行此过程或多个过程。 若要查看所需的权限，请参阅 角色管理权限主题中的"管理角色"条目。

• 您必须使用命令行管理程序执行这些过程。

• 若要了解本主题中的过程可能适用的键盘快捷键，请参阅 Exchange 管理中心内的键盘快捷键。

步骤 1：创建管理角色

新的管理角色基于现有角色。 创建角色时，将把现有角色及其管理角色条目复制到新角色。 现有角色将成为新子角色的父级。 必须始终选择包含需要使用的所有 cmdlet 和参数的角色，然后删除不需要的 cmdlet 和参数。 子角色不能具有父角色中不存在的管理角色条目。

使用以下语法创建新角色。

New-ManagementRole -Parent <existing role to copy> -Name <name of new role>

此示例将 Mail Recipients 角色及其管理角色项复制到 Seattle Mail Recipients 角色。

New-ManagementRole -Parent "Mail Recipients" -Name "Seattle Mail Recipients"

有关详细的语法和参数信息，请参阅New-ManagementRole。

步骤 2：更改新角色的管理角色条目

创建角色之后，需要更改角色的条目。 可以删除整个角色条目，这将完全删除对关联 cmdlet 的访问权限。 或者，可以从角色条目中删除参数，以删除对关联 cmdlet 上这些特定参数的访问权限。

不能在角色条目上添加新的角色条目或参数，除非它们存在于父角色中。 由于刚刚在第 1 步中从父角色创建了一个角色，因此无法在角色条目上添加任何其他角色条目或参数，原因是它们不存在于父角色中。

更改角色的角色条目时，可以执行以下操作之一：

• 删除一个完整的角色项。

• 删除多个完整的角色项。

• 删除角色项中的参数。

若要删除新角色中的角色条目，请参阅从角色中删除一个角色条目。

步骤 3：根据需要创建自定义管理角色范围

管理角色范围确定用户可以使用步骤 2 中配置的角色条目查看或更改的对象。 新的管理角色继承其父角色的读取和写入管理角色范围。 这些范围称为 隐式作用域。 但是，在某些情况下，你可能希望更改新角色的写入范围以满足业务需求。 创建自定义范围时，将替代角色的隐式写入范围。 角色的隐式读取范围不会更改。 有关管理角色作用域的详细信息，请参阅了解管理角色作用域。

可以创建自定义范围、创建独占范围、使用预定义范围或将分配范围限定为组织单位， (OU) 。 新范围必须位于角色的隐式读取范围内。 若要使用预定义的范围或指定组织单位，请跳到步骤 4。

若要将自定义作用域添加至新角色，请参阅创建常规或独占作用域。

步骤 4：分配新的管理角色

创建和配置角色时的最后一步是将其分配给角色接受者。

创建角色分配时，可以选择执行以下步骤之一：

• 创建无作用域的角色分配。

• 创建具有预定义作用域的角色分配。

• 创建具有 OU（没有域限制筛选器）的角色分配。

• 创建具有在步骤 3 中创建的自定义或独占作用域的角色分配。

  注意

  在角色和管理角色分配策略之间创建分配时，不能指定作用域。

可以将新角色分配给角色组、角色分配策略、用户或通用安全组， (USG) 。 有关详细信息，请参阅下列主题：

• 管理角色组

• 管理角色分配策略

• 向用户或 USG 添加角色