管理連結的角色群組

  • 發行項

適用於:Exchange Server 2013

您可以使用連結的管理角色群組,讓通用安全性群組的成員 (外部 Active Directory 樹系中的 USG) ,來管理資源 Active Directory 樹系中的 Microsoft Exchange Server 2013 組織。 藉由將外部樹系中的 USG 與連結的角色群組建立關聯,該 USG 的成員會獲授與指派給連結角色群組的管理角色所提供的許可權。 如需連結角色群組的詳細資訊,請參閱 瞭解管理角色群組

若要建立和設定連結的角色群組,您必須使用 New-RoleGroupSet-RoleGroup Cmdlet。 如需詳細的語法及參數資訊,請參閱下列主題:

若欲瞭解更多與角色群組相關的管理工作,請參閱 權限

開始之前有哪些須知?

  • 每個程式的預估完成時間:5 到 10 分鐘

  • 您必須已獲指派權限,才能執行此程序或這些程序。 若要查看您需要的權限,請參閱 角色管理權限主題中的「角色群組」項目。

  • 您無法使用 Exchange 系統管理中心 (EAC) 來建立或設定連結的角色群組。 您必須使用 Exchange 管理命令介面。

  • 設定連結的角色群組至少需要在連結角色群組所在的資源 Active Directory 樹系與使用者或 USG 所在的外部 Active Directory 樹系之間建立單向信任。 資源樹系必須信任外部樹系。

  • 您必須具有下列關於外部 Active Directory 樹系的資訊:

    • 認證:您必須具有可以存取外部 Active Directory 樹系的使用者名稱和密碼。 這項資訊會與New-RoleGroupSet-RoleGroupCmdlet 上的 LinkedCredential參數搭配使用。

    • 網域控制站:您必須在外部 Active Directory 樹系中具有 Active Directory 網域控制站的完整功能變數名稱 (FQDN) 。 這項資訊會與New-RoleGroupSet-RoleGroup Cmdlet 上的LinkedDomainController參數搭配使用。

    • 外部 USG:您必須在外部 Active Directory 樹系中擁有 USG 的完整名稱,其中包含您想要與連結角色群組相關聯的成員。 這項資訊會與New-RoleGroupSet-RoleGroup Cmdlet 上的LinkedForeignGroup參數搭配使用。

  • 如需適用於此主題中程序的快速鍵相關資訊,請參閱 Exchange 系統管理中心的鍵盤快速鍵

提示

有問題嗎? 在 Exchange 論壇中尋求協助。 瀏覽 Exchange Server 的論壇。

建立連結的角色群組

使用命令介面建立無範圍的連結角色群組

若要建立連結的角色群組並指派管理角色給該連結的角色群組,請執行下列動作:

  1. 以變數儲存外部 Active Directory 樹系認證。

    $ForeignCredential = Get-Credential

  2. 使用下列語法建立連結的角色群組。

    New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -Roles <role1, role2, role3...>

  3. 使用外部 Active Directory 樹系中電腦上的 [Active Directory 使用者和電腦],新增或移除外部 USG 的成員。

此範例會執行下列動作:

  • 擷取 users.contoso.com 外部 Active Directory 樹系的認證。 這些認證可用來連線到外部樹系中 DC01.users.contoso.com 網域控制站。

  • 在安裝 Exchange 2013 的資源樹系中建立名爲「符合性管理角色」的連結角色群組。

  • 將新角色群組連結到 users.contoso.com 外部 Active Directory 樹系中的符合性系統管理員 USG。

  • 將傳輸規則和日誌管理角色指派到新的連結角色群組。

$ForeignCredential = Get-Credential

New-RoleGroup "Compliance Role Group" -LinkedForeignGroup "Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles "Transport Rules", "Journaling"

使用命令介面建立具有自訂管理範圍的連結角色群組

您可以建立具有自訂收件者管理範圍、自訂群組態管理範圍或兩者的連結角色群組。 若要建立連結的角色群組,並為其指派具有自訂範圍的管理角色,請執行下列動作:

  1. 以變數儲存外部 Active Directory 樹系認證。

    $ForeignCredential = Get-Credential

  2. 使用下列語法建立連結的角色群組。

    New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -CustomConfigWriteScope <name of configuration scope> -CustomRecipientWriteScope <name of recipient scope> -LinkedCredential $ForeignCredential -Roles <role1, role2, role3...>

  3. 使用外部 Active Directory 樹系中電腦上的 [Active Directory 使用者和電腦],新增或移除外部 USG 的成員。

此範例會執行下列動作:

  • 擷取 users.contoso.com 外部 Active Directory 樹系的認證。 這些認證可用來連線到外部樹系中 DC01.users.contoso.com 網域控制站。

  • 在安裝 Exchange 2013 的資源樹系中建立名爲「西雅圖符合性角色群組」的連結角色群組。

  • 將新角色群組連結到 users.contoso.com 外部 Active Directory 樹系中的西雅圖符合性系統管理員 USG。

  • 將傳輸規則和日誌管理角色指派給具有西雅圖收件者自訂收件者範圍的新連結角色群組。

$ForeignCredential = Get-Credential

New-RoleGroup "Seattle Compliance Role Group" -LinkedForeignGroup "Seattle Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -CustomRecipientWriteScope "Seattle Recipients" -Roles "Transport Rules", "Journaling"

如需管理範圍的詳細資訊,請參閱了解管理角色範圍

使用命令介面建立具有 OU 範圍的連結角色群組

您可以建立使用 OU 收件者範圍的連結角色群組。 若要建立連結的角色群組,並將管理角色指派給具有 OU 範圍的群組,請執行下列動作:

  1. 以變數儲存外部 Active Directory 樹系認證。

    $ForeignCredential = Get-Credential

  2. 使用下列語法建立連結的角色群組。

    New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -RecipientOrganizationalUnitScope <OU name> -Roles <role1, role2, role3...>

  3. 使用外部 Active Directory 樹系中電腦上的 [Active Directory 使用者和電腦],新增或移除外部 USG 的成員。

此範例會執行下列動作:

  • 擷取 users.contoso.com 外部 Active Directory 樹系的認證。 這些認證可用來連線到外部樹系中 DC01.users.contoso.com 網域控制站。

  • 在安裝 Exchange 2013 的資源樹系中建立名爲「主管符合性角色群組」的連結角色群組。

  • 將新角色群組連結到 users.contoso.com 外部 Active Directory 樹系中的主管符合性系統管理員 USG。

  • 將傳輸規則和日誌管理角色指派給具有 OU 收件者範圍主管 OU 的新連結角色群組。

$ForeignCredential = Get-Credential

New-RoleGroup "Executives Compliance Role Group" -LinkedForeignGroup "Executives Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -RecipientOrganizationalUnitScope "Executives OU" -Roles "Transport Rules", "Journaling"

如需管理範圍的詳細資訊,請參閱了解管理角色範圍

在連結的角色組上變更外部 USG

使用命令介面來變更連結的角色群組上的外部 USG

若要變更與連結的角色群組相關聯的外部 USG,請執行下列動作:

  1. 以變數儲存外部 Active Directory 樹系認證。

    $ForeignCredential = Get-Credential

  2. 使用下列語法在現有連結的角色群組上變更外部 USG。

    Set-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential

此範例會執行下列動作:

  • 擷取 users.contoso.com 外部 Active Directory 樹系的認證。 這些認證可用來連線到外部樹系中 DC01.users.contoso.com 網域控制站。

  • 將 Compliance Role Group 角色群組上的外部 USG 變更為 Regulatory Compliance Officers。

$ForeignCredential = Get-Credential

Set-RoleGroup "Compliance Role Group" -LinkedForeignGroup "Regulatory Compliance Officers" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential