本文由机器翻译。若要查看英语原文,请勾选“英语”复选框。 也可将鼠标指针移到文本上,在弹出窗口中显示英语原文。
翻译
英语

管理链接的角色组

Exchange 2013
 

适用于:Exchange Server 2013

上一次修改主题:2012-10-09

可以使用链接的管理角色组,使外Active Directory目录林中的通用安全组 (USG) 管理中资源Active Directory林的 Microsoft Exchange Server 2013组织的成员。通过将外部林中 USG 关联与链接的角色组,成员的 USG 被授予由分配给链接的角色组的管理角色的权限。有关链接的角色组的详细信息,请参阅了解管理角色组

若要创建并配置链接的角色组,您需要使用New-RoleGroupSet-RoleGroup cmdlet。有关详细的语法和参数的信息,请参阅下列主题 ︰

有关角色组相关的其他管理任务,请参阅 权限

  • 估计完成每个过程的时间 ︰ 5 至 10 分钟

  • 您必须先获得权限,然后才能执行此过程或多个过程。若要查看所需的权限,请参阅 角色管理权限主题中的"角色组"条目。

  • 您不能使用 Exchange 管理中心 (EAC) 创建或配置链接的角色组。您必须使用 Exchange 管理外壳程序。

  • 至少,配置链接的角色组要求,链接的角色组将驻留在其中的资源Active Directory林和用户或 USGs 所驻留的外Active Directory林之间建立单向信任。资源林必须信任外部林。

  • 您必须具有关于外部 Active Directory 林的以下信息:

    • 凭据  您必须具有用户名和密码,才能访问外Active Directory林。此信息用于New-RoleGroupSet-RoleGroup cmdlet 的LinkedCredential参数。

    • 域控制器  林中外Active DirectoryActive Directory域控制器必须完全限定的域名称 (FQDN)。此信息用于New-RoleGroupSet-RoleGroup cmdlet 的LinkedDomainController参数。

    • 外 USG  在外Active Directory目录林中包含您想要与链接的角色组关联的成员必须 USG 的完整名称。此信息用于在New-RoleGroupSet-RoleGroup cmdlet 的LinkedForeignGroup参数。

  • 若要了解可能适用于此主题中过程的键盘快捷键,请参阅 Exchange 管理中心内的键盘快捷键

提示提示:
有疑问吗?请在 Exchange 论坛中寻求帮助。请访问以下论坛:Exchange ServerExchange OnlineExchange Online Protection

若要创建链接角色组并为其分配管理角色,请执行以下操作:

  1. 将外部 Active Directory 林的凭据存储在一个变量中。

    $ForeignCredential = Get-Credential
    
  2. 使用下面的语法创建链接的角色组。

    New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -Roles <role1, role2, role3...>
    
  3. 在外部 Active Directory 林中的计算机上使用 Active Directory 用户和计算机向外部 USG 添加成员或从中删除成员。

本示例执行以下操作:

  • 检索 users.contoso.com 外Active Directory林的凭据。这些凭据用于连接到外部目录林中的 DC01.users.contoso.com 域控制器。

  • 在安装了 Exchange 2013 的资源林中创建名为 Compliance Role Group 的链接角色组。

  • 将新角色组链接到 users.contoso.com 外部 Active Directory 林中的 Compliance Administrators USG。

  • 将传输规则和日记管理角色分配到新链接角色组。

$ForeignCredential = Get-Credential
New-RoleGroup "Compliance Role Group" -LinkedForeignGroup "Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles "Transport Rules", "Journaling"

您可以与自定义收件人管理范围和 / 或自定义配置管理范围,创建链接的角色组。若要创建链接的角色组并为其分配管理角色具有自定义的作用域,请执行以下操作 ︰

  1. 将外部 Active Directory 林的凭据存储在一个变量中。

    $ForeignCredential = Get-Credential
    
  2. 使用下面的语法创建链接的角色组。

    New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -CustomConfigWriteScope <name of configuration scope> -CustomRecipientWriteScope <name of recipient scope> -LinkedCredential $ForeignCredential -Roles <role1, role2, role3...>
    
  3. 在外部 Active Directory 林中的计算机上使用 Active Directory 用户和计算机向外部 USG 添加成员或从中删除成员。

本示例执行以下操作:

  • 检索 users.contoso.com 外Active Directory林的凭据。这些凭据用于连接到外部目录林中的 DC01.users.contoso.com 域控制器。

  • 在安装了 Exchange 2013 的资源林中创建名为 Seattle Compliance Role Group 的链接角色组。

  • 将新角色组链接到 users.contoso.com 外部 Active Directory 林中的 Seattle Compliance Administrators USG。

  • 将传输规则和日记管理角色分配到具有 Seattle Recipients 自定义收件人作用域的新链接角色组。

$ForeignCredential = Get-Credential
New-RoleGroup "Seattle Compliance Role Group" -LinkedForeignGroup "Seattle Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -CustomRecipientWriteScope "Seattle Recipients" -Roles "Transport Rules", "Journaling"

有关管理作用域的详细信息,请参阅了解管理角色作用域

您可以创建使用 OU 收件人范围的链接的角色组。要创建链接的角色组并与 OU 范围为其分配管理角色,请执行以下操作 ︰

  1. 将外部 Active Directory 林的凭据存储在一个变量中。

    $ForeignCredential = Get-Credential
    
  2. 使用下面的语法创建链接的角色组。

    New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -RecipientOrganizationalUnitScope <OU name> -Roles <role1, role2, role3...>
    
  3. 在外部 Active Directory 林中的计算机上使用 Active Directory 用户和计算机向外部 USG 添加成员或从中删除成员。

本示例执行以下操作:

  • 检索 users.contoso.com 外Active Directory林的凭据。这些凭据用于连接到外部目录林中的 DC01.users.contoso.com 域控制器。

  • 在安装了 Exchange 2013 的资源林中创建名为 Executives Compliance Role Group 的链接角色组。

  • 将新角色组链接到 users.contoso.com 外部 Active Directory 林中的 Executives Compliance Administrators USG。

  • 将传输规则和日记管理角色分配到具有 OU 收件人作用域 Executives OU 的新链接角色组。

$ForeignCredential = Get-Credential
New-RoleGroup "Executives Compliance Role Group" -LinkedForeignGroup "Executives Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -RecipientOrganizationalUnitScope "Executives OU" -Roles "Transport Rules", "Journaling"

有关管理作用域的详细信息,请参阅了解管理角色作用域

若要更改与链接角色组相关的外部 USG,请执行以下操作:

  1. 将外部 Active Directory 林的凭据存储在一个变量中。

    $ForeignCredential = Get-Credential
    
  2. 使用以下语法更改现有的链接的角色组上的外部 USG。

    Set-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential 
    

本示例执行以下操作:

  • 检索 users.contoso.com 外Active Directory林的凭据。这些凭据用于连接到外部目录林中的 DC01.users.contoso.com 域控制器。

  • 将 Compliance Role Group 角色组上的外部 USG 更改为 Regulatory Compliance Officers。

$ForeignCredential = Get-Credential
Set-RoleGroup "Compliance Role Group" -LinkedForeignGroup "Regulatory Compliance Officers" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential
 
显示: