建立鏡像內建角色群組的連結角色群組

  • 發行項

適用於:Exchange Server 2013

在 Microsoft Exchange Server 2013 中使用連結管理角色群組,您可以將 Exchange 2013 資源樹系中的角色群組與通用安全性群組連結 (外部使用者樹系中的 USG) 。 當您希望使用者樹系中具有帳戶的系統管理員管理資源樹系中執行 Exchange 的伺服器時,這會很有用。 如需連結角色群組的詳細資訊,請參閱 瞭解管理角色群組

根據預設,Exchange 2013 包含一些內建角色群組,可提供您管理各種功能和作業功能的許可權。 每個角色群組都會量身訂做,以提供每個功能和作業函式的特定許可權。 不過,這些角色群組無法連結至外部樹系中的 USG。 它們只能包含來自本機資源樹系的使用者和 USG。 幸運的是,您可以使用連結的角色群組複寫這些內建角色群組。

您可以將每個內建角色群組重新建立為連結的角色群組。 指派給每個角色群組的所有管理角色和管理範圍都會新增至新的連結角色群組。 如需管理角色和範圍的詳細資訊,請參閱下列主題:

要尋找與角色群組相關的其他管理工作嗎? 請參閱 許可權

開始之前有哪些須知?

  • 每項程序的預估完成時間:10 分鐘

  • 您必須已獲指派權限,才能執行此程序或這些程序。 若要查看您需要的權限,請參閱 角色管理權限主題中的「角色群組」項目。

  • 您必須使用命令介面來執行這些程序。

  • 設定連結的角色群組需要連結角色群組所在的資源 Active Directory 樹系與使用者或 USG 所在的外部 Active Directory 樹系之間的單向信任。 資源樹系必須信任外部樹系。

  • 您必須具有下列關於外部 Active Directory 樹系的資訊:

    • 認證:您必須具有可以存取外部 Active Directory 樹系的使用者名稱和密碼。 這項資訊會與New-RoleGroupCmdlet 上的 LinkedCredential參數搭配使用。 這項資訊是透過執行 Get-Credential Cmdlet 來取得。 使用者名稱的格式為網域\使用者名稱

    • 網域控制站:您必須在外部 Active Directory 樹系中具有 Active Directory 網域控制站的完整功能變數名稱 (FQDN) 。 這項資訊會與New-RoleGroup Cmdlet 上的LinkedDomainController參數搭配使用。

    • 外部 USG:您必須在外部 Active Directory 樹系中擁有 USG 的完整名稱,其中包含您想要與連結角色群組相關聯的成員。 這項資訊會與New-RoleGroup Cmdlet 上的LinkedForeignGroup參數搭配使用。

  • 如需適用於此主題中程序的快速鍵相關資訊,請參閱 Exchange 系統管理中心的鍵盤快速鍵

提示

有問題嗎? 在 Exchange 論壇中尋求協助。 瀏覽 Exchange Server 的論壇。

使用命令介面可建立複寫內建角色群組的連結角色群組

下列各節會示範如何將每個角色群組重新建立為連結的角色群組。 完成每個區段中的程式,以將所有內建角色群組重新建立為連結的角色群組。

建立組織管理的連結角色群組

若要將組織管理角色群組重新建立為連結的角色群組,您可以執行不同于用來重新建立其他內建角色群組之程式的程式。 這是因為組織管理角色群組在組織管理角色群組與所有管理角色之間委派角色指派。 重新建立委派角色指派需要額外的步驟。

  1. 建立要連結至 組織管理 角色群組的外部樹系 USG。

  2. 以變數儲存外部 Active Directory 樹系認證。

    $ForeignCredential = Get-Credential

  3. 透過變數儲存指派至 組織管理 角色群組的所有角色。

    $OrgMgmt  = Get-RoleGroup "Organization Management"

  4. 建立 組織管理 連結角色群組,並新增指派至內建 組織管理 角色群組的角色。

    New-RoleGroup "Organization Management - Linked" -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -Roles $OrgMgmt.Roles

  5. 移除新組織管理連結角色群組與 My* 使用者角色之間的所有一般指派。

    Get-ManagementRoleAssignment -RoleAssignee "Organization Management - Linked" -Role My* | Remove-ManagementRoleAssignment

  6. 新增新 組織管理 連結角色群組及所有管理角色間的委派角色指派。

    Get-ManagementRole | New-ManagementRoleAssignment -SecurityGroup "Organization Management - Linked" -Delegating

此範例假設下列值用於每個參數:

  • LinkedForeignGroupOrganization Management Administrators

  • LinkedDomainControllerDC01.users.contoso.com

此範例使用前值來將 組織管理 角色群組重新建立為連結角色群組。

$ForeignCredential = Get-Credential

$OrgMgmt  = Get-RoleGroup "Organization Management"
New-RoleGroup "Organization Management - Linked" -LinkedForeignGroup "Organization Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $OrgMgmt.Roles
Get-ManagementRoleAssignment -RoleAssignee "Organization Management - Linked" -Role My* | Remove-ManagementRoleAssignment
Get-ManagementRole | New-ManagementRoleAssignment -SecurityGroup "Organization Management - Linked" -Delegating

建立所有其他連結的角色群組

若要將內建角色群組 (除了 組織管理 角色群組以外) 重新建立為連結的角色群組,請對每個群組執行以下程序。

  1. 爲每個角色群組建立連結至每個新角色群組的外部樹系 USG。

  2. 以變數儲存外部 Active Directory 樹系認證。 您只需要執行此動作一次。

    $ForeignCredential = Get-Credential

  3. 擷取使用下列 Cmdlet 的角色群組清單。

    Get-RoleGroup

  4. 針對 組織管理 角色群組以外的每個角色群組,請執行下列作業。

    $RoleGroup = Get-RoleGroup <name of role group to re-create>
New-RoleGroup "<role group name> - Linked" -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles

  5. 針對想重新建立為連結角色群組的每個內建角色群組,重複先前步驟。

此範例假設下列值用於每個參數:

  • LinkedDomainControllerDC01.users.contoso.com

  • 要重新建立為連結角色群組的內建角色群組Recipient Management, Server Management

  • 收件者管理連結角色群組的外部群組Recipient Management Administrators

  • 伺服器管理連結角色群組的外部群組Server Management Administrators

此範例使用前值來將 收件者管理 及「伺服器管理」角色群組重新建立為連結角色群組。

$ForeignCredential = Get-Credential

Get-RoleGroup

$RoleGroup = Get-RoleGroup "Recipient Management"
New-RoleGroup "Recipient Management - Linked" -LinkedForeignGroup "Recipient Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles
$RoleGroup = Get-RoleGroup "Server Management"
New-RoleGroup "Server Management - Linked" -LinkedForeignGroup "Server Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles

其他工作

在建立連結角色群組之後,您可能還想要:

新增成員到外部樹系中使用 Active Directory 使用者及電腦的外部 USG。

移除內建角色群組的成員。 如需詳細資訊,請參閱管理角色群組成員

新增、移除或變更新連結角色群組上的角色範圍。 如需詳細資訊,請 參閱管理角色群組

建立其他連結的角色群組。 如需詳細資訊,請 參閱管理連結的角色群組