更改角色组中角色分配的作用域
适用于: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上一次修改主题: 2012-07-23
会向管理角色组分配管理角色。角色组和角色之间的管理角色分配包含管理作用域,管理作用域确定该角色组成员可用的对象。通过更改角色组上的写入作用域,可以更改角色组成员可创建、更改或删除的对象。不能更改角色组上的读取作用域。
Microsoft Exchange Server 2010 包括在未创建自定义作用域时,默认应用于角色分配的作用域。如果您要对角色组上的角色分配使用自定义作用域,则必须首先创建一个自定义作用域。有关创建自定义作用域(这是高级任务)的详细信息,请参阅创建常规或独占作用域。
有关 Exchange 2010 中管理角色作用域和分配的详细信息,请参阅下列主题:
若要了解与角色组相关的其他管理任务,请查看管理管理员和专家用户。
使用 ECP 更改角色组上的作用域
您必须先获得权限,然后才能执行此过程。若要查看所需的权限,请参阅角色管理权限主题中的“角色组”条目。
在使用 Exchange 控制面板 (ECP) 更改某个角色组上的作用域时,您实际更改的是该角色组与分配给该角色组的每个管理角色之间所有角色分配上的作用域。如果您要更改特定角色分配上的作用域,则必须使用本主题后面的 Exchange 命令行管理程序步骤。
.gif "重要") 重要说明: |
|---|
| 对于角色与角色组之间的角色分配,如果您使用命令行管理程序在这些角色分配上配置了多个作用域或独占作用域,则不能使用 ECP 管理这些角色分配上的作用域。如果您在这些角色分配上配置了多个作用域或独占作用域,则必须使用本主题后面的命令行管理程序步骤管理这些作用域。有关管理角色作用域的详细信息,请参阅了解管理角色作用域。 |
在 EMC 中,导航到控制台树中的“工具箱”。
在工作窗格中,双击“基于角色的访问控制 (RBAC) 用户编辑器”打开 Exchange 控制面板 (ECP) 中的用户编辑器。
在“域名\用户名”和“密码”字段中为拥有打开 ECP 中的用户编辑器所需的权限的帐户提供凭据。单击“登录”。
单击“管理员角色”选项卡。
选择要更改其作用域的角色组,然后单击“详细信息”。
从以下两个“写入作用域”选项中选择一个:
下拉框中的写入作用域。在此框中,既可以选择默认写入作用域,也可以选择自定义写入作用域。
“组织单位” 如果想要将此角色组的作用域设定为某个组织单位 (OU),则选择此选项并提供 OU。
单击“保存”将更改保存到角色组。
使用命令行管理程序同时更改角色组上所有角色分配的作用域
您必须先获得权限,然后才能执行此过程。若要查看所需的权限,请参阅角色管理权限主题中的“角色组”条目。
角色组与分配给它的角色之间的角色分配可以使用从角色本身获取的隐式作用域、相同的自定义作用域或不同的自定义作用域。有关角色分配的详细信息,请参阅了解管理角色分配。
角色分配上的作用域使用 Set-ManagementRoleAssignment cmdlet 进行管理。使用 Set-RoleGroup cmdlet 不能管理作用域。
若要同时更改角色组与管理角色组之间所有角色分配的作用域,需要首先检索该角色组上的角色分配,然后在每个分配上设置新作用域。通过使用 Get-ManagementRoleAssignment cmdlet 来检索角色分配,然后将这些角色分配用管道传递到 Set-ManagementRoleAssignment cmdlet,以此来完成上述更改操作。
此过程使用管道传输和 WhatIf 开关的概念。有关详细信息,请参阅下列主题:
若要同时设置角色组的所有角色分配的作用域,请使用以下语法。
Get-ManagementRoleAssignment -RoleAssignee <name of role group> | Set-ManagementRoleAssignment -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name> -RecipientRelativeScopeWriteScope < MyDistributioGroups | Organization | Self> -ExclusiveRecipientWriteScope <exclusive recipient scope name> -ExclusiveConfigWriteScope <exclusive configuration scope name> -RecipientOrganizationalUnitScope <organizational unit>
仅使用配置要使用的作用域时所需的参数。例如,如果要将 Sales Recipient Management 角色组上的所有角色分配的收件人作用域更改为 Direct Sales Employees,请使用以下命令。
Get-ManagementRoleAssignment -RoleAssignee "Sales Recipient Management" | Set-ManagementRoleAssignment -CustomRecipientWriteScope "Direct Sales Employees"
.gif "注释") 注意: |
|---|
| 可以使用 WhatIf 开关来验证仅更改了您要更改的角色分配。使用 WhatIf 开关运行上述命令以验证结果,然后删除 WhatIf 开关以应用更改。 |
有关更改管理角色分配的详细信息,请参阅更改角色分配。
有关语法和参数的详细信息,请参阅 Get-ManagementRoleAssignment。
使用命令行管理程序更改角色组上单个角色分配的作用域
您必须先获得权限,然后才能执行此过程。若要查看所需的权限,请参阅角色管理权限主题中的“角色组”条目。
角色组与分配给它的角色之间的角色分配可以使用从角色本身获取的隐式作用域、相同的自定义作用域或不同的自定义作用域。有关角色分配的详细信息,请参阅了解管理角色分配。
角色分配上的作用域使用 Set-ManagementRoleAssignment cmdlet 进行管理。使用 Set-RoleGroup cmdlet 不能管理作用域。
此过程使用管道传输和 Format-List cmdlet 的概念。有关详细信息,请参阅下列主题:
若要更改角色组与管理角色之间的角色分配上的作用域,首先要找到该角色分配的名称,然后在该角色分配上设置作用域。
若要查找角色组上任何角色分配的名称,请使用以下命令。将管理角色分配通过管道传递到 Format-List cmdlet,可以查看该分配的完整名称。
Get-ManagementRoleAssignment -RoleAssignee <role group name> | Format-List Name查找要更改的角色分配的名称。在下一步中使用该分配的名称。
若要在单个分配上设置作用域,请使用以下语法。
Set-ManagementRoleAssignment <role assignment name> -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name> -RecipientRelativeScopeWriteScope < MyDistributioGroups | Organization | Self> -ExclusiveRecipientWriteScope <exclusive recipient scope name> -ExclusiveConfigWriteScope <exclusive configuration scope name> -RecipientOrganizationalUnitScope <organizational unit>
仅使用配置要使用的作用域时所需的参数。例如,如果要将 Mail Recipients_Sales Recipient Management 角色分配的收件人作用域更改为 All Sales Employees,请使用以下命令。
Set-ManagementRoleAssignment "Mail Recipients_Sales Recipient Management" -CustomRecipientWriteScope "All Sales Employees"
有关更改管理角色分配的详细信息,请参阅更改角色分配。
有关语法和参数的详细信息,请参阅 Set-ManagementRoleAssignment。
其他任务
在更改角色组上角色分配的作用域之后,您可能还需要:
© 2010 Microsoft Corporation。保留所有权利。