创建作为内置角色组镜像的关联角色组

  • 项目

适用于:Exchange Server 2013

使用 Microsoft Exchange Server 2013 中的链接管理角色组,可以将 Exchange 2013 资源林中的角色组与外部用户林中的通用安全组 (USG) 链接。 如果希望具有用户林中帐户的管理员管理资源林中运行 Exchange 的服务器,这将非常有用。 有关链接角色组的详细信息,请参阅 了解管理角色组

默认情况下,Exchange 2013 包括许多内置角色组,这些角色组提供管理各种功能和作业功能的权限。 每个角色组都经过定制,为每个功能和作业功能提供特定权限。 但是,这些角色组不能链接到外部林中的 USG。 它们只能包含本地资源林中的用户和 USG。 幸运的是,可以使用链接的角色组复制这些内置角色组。

可以将每个内置角色组重新创建为链接角色组。 分配给每个角色组的所有管理角色和管理范围将添加到新的链接角色组。 有关管理角色和范围的详细信息,请参阅以下主题:

是否要查找与角色组相关的其他管理任务? 请查看权限

开始前,有必要了解什么?

  • 估计完成每个步骤时间:10 分钟

  • 您必须先获得权限,然后才能执行此过程或多个过程。 若要查看所需的权限,请参阅 角色管理权限主题中的"角色组"条目。

  • 您必须使用命令行管理程序执行这些过程。

  • 配置链接角色组需要在链接角色组所在的资源 Active Directory 林与用户或 USG 所在的外部 Active Directory 林之间建立单向信任。 资源林必须信任外部林。

  • 您必须具有关于外部 Active Directory 林的以下信息:

    • 凭据:必须具有可以访问外部 Active Directory 林的用户名和密码。 此信息与 New-RoleGroup cmdlet 上的 LinkedCredential 参数一起使用。 此信息是通过运行 Get-Credential cmdlet 获取的。 用户名的格式为 \用户名

    • 域控制器:必须具有外部 Active Directory 林中 Active Directory 域控制器的完全限定域名 (FQDN) 。 此信息与 New-RoleGroup cmdlet 上的 LinkedDomainController 参数一起使用。

    • 外部 USG:必须具有外部 Active Directory 林中 USG 的全名,其中包含要与链接角色组关联的成员。 此信息与 New-RoleGroup cmdlet 上的 LinkedForeignGroup 参数一起使用。

  • 若要了解本主题中的过程可能适用的键盘快捷键,请参阅 Exchange 管理中心内的键盘快捷键

提示

是否有任何疑问? 在 Exchange 论坛中寻求帮助。 访问 Exchange Server 的论坛。

使用命令行管理程序创建复制内置角色组的链接角色组

以下每个部分介绍如何将每个角色组重新创建为链接角色组。 完成每个部分中的过程,将所有内置角色组重新创建为链接的角色组。

创建组织管理链接角色组

若要将组织管理角色组重新创建为链接角色组,需要执行的过程不同于重新创建其他内置角色组的过程。 这是因为组织管理角色组在与所有管理角色之间委派角色分配。 重新创建委派角色分配需要一个额外的步骤。

  1. 在外部林中创建将链接到 组织管理 角色组的 USG。

  2. 将外部 Active Directory 林的凭据存储在一个变量中。

    $ForeignCredential = Get-Credential

  3. 将分配到 组织管理 角色组的所有角色存储在一个变量中。

    $OrgMgmt  = Get-RoleGroup "Organization Management"

  4. 创建 组织管理 链接角色组并添加分配到内置 组织管理 角色组的角色。

    New-RoleGroup "Organization Management - Linked" -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -Roles $OrgMgmt.Roles

  5. 删除新的组织管理链接角色组和 My* 最终用户角色之间的所有常规分配。

    Get-ManagementRoleAssignment -RoleAssignee "Organization Management - Linked" -Role My* | Remove-ManagementRoleAssignment

  6. 在新 组织管理 链接角色组和所有管理角色之间添加委派角色分配。

    Get-ManagementRole | New-ManagementRoleAssignment -SecurityGroup "Organization Management - Linked" -Delegating

本示例假定以下值分别用于每个参数:

  • LinkedForeignGroupOrganization Management Administrators

  • LinkedDomainControllerDC01.users.contoso.com

通过使用前面的值,本示例可将 组织管理 角色组重新创建为链接角色组。

$ForeignCredential = Get-Credential

$OrgMgmt  = Get-RoleGroup "Organization Management"
New-RoleGroup "Organization Management - Linked" -LinkedForeignGroup "Organization Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $OrgMgmt.Roles
Get-ManagementRoleAssignment -RoleAssignee "Organization Management - Linked" -Role My* | Remove-ManagementRoleAssignment
Get-ManagementRole | New-ManagementRoleAssignment -SecurityGroup "Organization Management - Linked" -Delegating

创建其他所有链接角色组

若要将内置角色组(组织管理 角色组除外)重新创建为链接角色组,请使用以下用于每个组的步骤。

  1. 在各个角色组的外部林中创建将链接到各个新角色组的 USG。

  2. 将外部 Active Directory 林的凭据存储在一个变量中。 只需执行此操作一次。

    $ForeignCredential = Get-Credential

  3. 使用以下 cmdlet 检索角色组列表。

    Get-RoleGroup

  4. 对于每个角色组(组织管理 角色组除外),执行以下操作:

    $RoleGroup = Get-RoleGroup <name of role group to re-create>
New-RoleGroup "<role group name> - Linked" -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles

  5. 对于每个您要将其重新创建为链接角色组的内置角色组,可重复前面的步骤。

本示例假定以下值分别用于每个参数:

  • LinkedDomainControllerDC01.users.contoso.com

  • 要重新创建为链接角色组的内置角色组Recipient Management, Server Management

  • “收件人管理”链接角色组的“外部”组Recipient Management Administrators

  • 服务器管理链接角色组的外部组Server Management Administrators

通过使用前面的值,本示例可将 收件人管理 和 Server Management 角色组重新创建为链接角色组。

$ForeignCredential = Get-Credential

Get-RoleGroup

$RoleGroup = Get-RoleGroup "Recipient Management"
New-RoleGroup "Recipient Management - Linked" -LinkedForeignGroup "Recipient Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles
$RoleGroup = Get-RoleGroup "Server Management"
New-RoleGroup "Server Management - Linked" -LinkedForeignGroup "Server Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles

其他任务

创建链接角色组之后,您可能还需要:

使用外部林中的 Active Directory 用户和计算机向外部 USG 中添加成员。

删除内置角色组的成员。 有关详细信息,请参阅管理角色组成员

在新的链接角色组上添加、删除或更改角色的范围。 有关详细信息,请参阅 管理角色组

创建其他链接角色组。 有关详细信息,请参阅 管理链接的角色组