Применимо к: Exchange Server 2010 SP1
Последнее изменение раздела: 2011-03-19
Командлет New-ManagementRoleAssignment используется для назначения роли управления группе ролей управления, политике назначения ролей управления, пользователю или универсальной группе безопасности (USG).
Синтаксис
New-ManagementRoleAssignment [-Name <String>] -Role
<RoleIdParameter> -User <UserIdParameter> [-Confirm
[<SwitchParameter>]] [-CustomConfigWriteScope
<ManagementScopeIdParameter>] [-CustomRecipientWriteScope
<ManagementScopeIdParameter>] [-Delegating
<SwitchParameter>] [-DomainController <Fqdn>]
[-ExclusiveConfigWriteScope <ManagementScopeIdParameter>]
[-ExclusiveRecipientWriteScope <ManagementScopeIdParameter>]
[-Force <SwitchParameter>] [-Organization
<OrganizationIdParameter>] [-RecipientOrganizationalUnitScope
<OrganizationalUnitIdParameter>]
[-RecipientRelativeWriteScope <None | NotApplicable |
Organization | MyGAL | Self | MyDirectReports | OU |
CustomRecipientScope | MyDistributionGroups | MyExecutive |
ExclusiveRecipientScope>] [-UnScopedTopLevel
<SwitchParameter>] [-WhatIf [<SwitchParameter>]]
|
New-ManagementRoleAssignment [-Name <String>] -Role
<RoleIdParameter> -SecurityGroup
<SecurityGroupIdParameter> [-Confirm
[<SwitchParameter>]] [-CustomConfigWriteScope
<ManagementScopeIdParameter>] [-CustomRecipientWriteScope
<ManagementScopeIdParameter>] [-Delegating
<SwitchParameter>] [-DomainController <Fqdn>]
[-ExclusiveConfigWriteScope <ManagementScopeIdParameter>]
[-ExclusiveRecipientWriteScope <ManagementScopeIdParameter>]
[-Force <SwitchParameter>] [-Organization
<OrganizationIdParameter>] [-RecipientOrganizationalUnitScope
<OrganizationalUnitIdParameter>]
[-RecipientRelativeWriteScope <None | NotApplicable |
Organization | MyGAL | Self | MyDirectReports | OU |
CustomRecipientScope | MyDistributionGroups | MyExecutive |
ExclusiveRecipientScope>] [-UnScopedTopLevel
<SwitchParameter>] [-WhatIf [<SwitchParameter>]]
|
New-ManagementRoleAssignment [-Name <String>]
-Policy <MailboxPolicyIdParameter> -Role
<RoleIdParameter> [-Confirm [<SwitchParameter>]]
[-CustomConfigWriteScope <ManagementScopeIdParameter>]
[-CustomRecipientWriteScope <ManagementScopeIdParameter>]
[-DomainController <Fqdn>] [-ExclusiveConfigWriteScope
<ManagementScopeIdParameter>] [-ExclusiveRecipientWriteScope
<ManagementScopeIdParameter>] [-Force
<SwitchParameter>] [-Organization
<OrganizationIdParameter>] [-RecipientOrganizationalUnitScope
<OrganizationalUnitIdParameter>]
[-RecipientRelativeWriteScope <None | NotApplicable |
Organization | MyGAL | Self | MyDirectReports | OU |
CustomRecipientScope | MyDistributionGroups | MyExecutive |
ExclusiveRecipientScope>] [-UnScopedTopLevel
<SwitchParameter>] [-WhatIf [<SwitchParameter>]]
|
New-ManagementRoleAssignment [-Name <String>]
-Computer <ComputerIdParameter> -Role <RoleIdParameter>
[-Confirm [<SwitchParameter>]] [-CustomConfigWriteScope
<ManagementScopeIdParameter>] [-CustomRecipientWriteScope
<ManagementScopeIdParameter>] [-DomainController
<Fqdn>] [-ExclusiveConfigWriteScope
<ManagementScopeIdParameter>] [-ExclusiveRecipientWriteScope
<ManagementScopeIdParameter>] [-Force
<SwitchParameter>] [-Organization
<OrganizationIdParameter>] [-RecipientOrganizationalUnitScope
<OrganizationalUnitIdParameter>]
[-RecipientRelativeWriteScope <None | NotApplicable |
Organization | MyGAL | Self | MyDirectReports | OU |
CustomRecipientScope | MyDistributionGroups | MyExecutive |
ExclusiveRecipientScope>] [-UnScopedTopLevel
<SwitchParameter>] [-WhatIf [<SwitchParameter>]]
|
Параметры
Параметр | Обязательность | Тип | Описание | ||
---|---|---|---|---|---|
Computer |
Обязательный |
Microsoft.Exchange.Configuration.Tasks.ComputerIdParameter |
Параметр Computer указывает имя компьютера, которому необходимо назначить роль управления. Если указан параметр Computer, невозможно использовать параметры SecurityGroup, User или Policy. |
||
Policy |
Обязательный |
Microsoft.Exchange.Configuration.Tasks.MailboxPolicyIdParameter |
Параметр Policy указывает имя политики назначения ролей управления, которой необходимо назначить роль управления. Свойству роли IsEndUserRole, указанному с помощью
параметра Role, должно быть присвоено значение
Если указан параметр Policy, невозможно использовать параметры SecurityGroup, Computer или User. Если имя политики содержит пробелы, его необходимо заключить в кавычки ("). |
||
Role |
Обязательный |
Microsoft.Exchange.Configuration.Tasks.RoleIdParameter |
Параметр Role указывает существующую роль для назначения. Если имя роли содержит пробелы, его необходимо заключить в кавычки ("). |
||
SecurityGroup |
Обязательный |
Microsoft.Exchange.Configuration.Tasks.SecurityGroupIdParameter |
Параметр SecurityGroup указывает имя группы ролей управления или универсальной группы безопасности (USG), которой необходимо назначить роль управления. Если указан параметр SecurityGroup, невозможно использовать параметры Policy, Computer или User. Если имя группы ролей или универсальной группы безопасности содержит пробелы, его необходимо заключить в кавычки ("). |
||
User |
Обязательный |
Microsoft.Exchange.Configuration.Tasks.UserIdParameter |
Параметр User указывает имя или псевдоним пользователя, которому необходимо назначить роль управления. Если указан параметр User, невозможно использовать параметры SecurityGroup, Computer или Policy. Если значение содержит пробелы, имя необходимо заключить в кавычки ("). |
||
Confirm |
Необязательный |
System.Management.Automation.SwitchParameter |
|||
CustomConfigWriteScope |
Необязательный |
Microsoft.Exchange.Configuration.Tasks.ManagementScopeIdParameter |
Параметр CustomConfigWriteScope указывает существующую область конфигурации для связи с назначением роли управления. При использовании параметра CustomConfigWriteScope невозможно использовать параметр ExclusiveConfigWriteScope. Если имя области управления содержит пробелы, его необходимо заключить в кавычки ("). |
||
CustomRecipientWriteScope |
Необязательный |
Microsoft.Exchange.Configuration.Tasks.ManagementScopeIdParameter |
Параметр CustomRecipientWriteScope указывает существующую область управления получателями для связи с назначением роли управления. Если имя области управления содержит пробелы, его необходимо заключить в кавычки ("). При использовании параметра CustomRecipientWriteScope невозможно использовать параметры RecipientOrganizationalUnitScope или ExclusiveRecipientWriteScope . |
||
Delegating |
Необязательный |
System.Management.Automation.SwitchParameter |
Параметр Delegating указывает, может ли пользователь или универсальная группа безопасности, которым назначена роль, передавать роль другим пользователям или группам. Значение для параметра Delegating указывать необязательно. |
||
DomainController |
Необязательный |
Microsoft.Exchange.Data.Fqdn |
|||
ExclusiveConfigWriteScope |
Необязательный |
Microsoft.Exchange.Configuration.Tasks.ManagementScopeIdParameter |
Параметр ExclusiveConfigWriteScope указывает монопольную область управления конфигурацией для связи с новым назначением роли. При использовании параметра ExclusiveConfigWriteScope невозможно использовать параметр CustomConfigWriteScope. Если имя области содержит пробелы, его необходимо заключить в кавычки ("). |
||
ExclusiveRecipientWriteScope |
Необязательный |
Microsoft.Exchange.Configuration.Tasks.ManagementScopeIdParameter |
Параметр ExclusiveRecipientWriteScope указывает монопольную область управления получателями для связи с новым назначением роли. При использовании параметра ExclusiveRecipientWriteScope невозможно использовать параметры CustomRecipientWriteScope или RecipientOrganizationalUnitScope. Если имя области содержит пробелы, его необходимо заключить в кавычки ("). |
||
Force |
Необязательный |
System.Management.Automation.SwitchParameter |
|||
Name |
Необязательный |
System.String |
Параметр Name указывает имя нового назначения роли управления. Длина этого имени не должна превышать 64 символов. Если имя назначения роли управления содержит пробелы, его необходимо заключить в кавычки ("). |
||
Organization |
Необязательный |
Microsoft.Exchange.Configuration.Tasks.OrganizationIdParameter |
|||
RecipientOrganizationalUnitScope |
Необязательный |
Microsoft.Exchange.Configuration.Tasks.OrganizationalUnitIdParameter |
Параметр RecipientOrganizationalUnitScope указывает подразделение для определения области нового назначения роли. При использовании параметра RecipientOrganizationalUnitScope невозможно использовать параметры CustomRecipientWriteScope или ExclusiveRecipientWriteScope . Чтобы указать подразделение, используйте следующую синтаксическую конструкцию: домен/подразделение. Если имя подразделения содержит пробелы, домен и подразделение необходимо заключить в кавычки ("). |
||
RecipientRelativeWriteScope |
Необязательный |
Microsoft.Exchange.Data.Directory.SystemConfiguration.RecipientWriteScopeType |
Параметр RecipientRelativeWriteScope указывает тип
ограничения, которое необходимо применить к области получателей.
Допустимые типы:
|
||
UnScopedTopLevel |
Необязательный |
System.Management.Automation.SwitchParameter |
Переключатель UnScopedTopLevel указывает, что роль, предоставленная параметром Role, является ролью управления верхнего уровня с незаданной областью. Если роль, указанная с помощью параметра Role, является ролью верхнего уровня с незаданной областью, создать назначение роли можно только с помощью переключателя UnScopedTopLevel. |
||
WhatIf |
Необязательный |
System.Management.Automation.SwitchParameter |
Подробное описание
При добавлении нового назначения роли можно указать встроенную или настраиваемую роль, созданную с помощью командлета New-ManagementRole, а также указать подразделение или предопределенную или настраиваемую область управления для ограничения назначения.
Создать настраиваемые области управления можно с помощью командлета New-ManagementScope, а просмотреть существующие области — с помощью командлета Get-ManagementScope. Если подразделение, предопределенная или настраиваемая область не указаны, к назначению роли применяется неявная область записи роли.
Дополнительные сведения о назначении роли управления см. в разделе Общие сведения о назначениях ролей управления.
Запись «Назначения ролей» в разделе Разрешения управления ролями.
Типы входных данных
Типы возвращаемых данных
Ошибки
Ошибка | Описание |
---|---|
|
|
Примеры
ПРИМЕР 1
В этом примере группе ролей службы поддержки 2 уровня назначается роль получателей почты.
Скопировать код | |
---|---|
New-ManagementRoleAssignment -Name "Mail Recipients_Tier 2 Help Desk" -Role "Mail Recipients" -SecurityGroup "Tier 2 Help Desk" |
ПРИМЕР 2
В этом примере политике назначения ролей «Sales
end-users» назначается роль MyVoiceMail. Сначала проверяется
свойство роли MyVoiceMail IsEndUserRole, чтобы убедиться,
что для него установлено значение $true
, означающее,
что это роль пользователя:
Скопировать код | |
---|---|
Get-ManagementRole "MyVoiceMail" | Format-Table Name, IsEndUserRole |
После проверки роли на соответствие роли пользователя эта роль назначается политике назначения ролей «Sales end-users».
Скопировать код | |
---|---|
New-ManagementRoleAssignment -Name "MyVoiceMail_Sales end-users" -Role "MyVoiceMail" -Policy "Sales end-users" |
ПРИМЕР 3
В этом примере группе ролей персонала службы поддержки на английском языке назначается роль службы поддержки на английском языке. Это назначение ограничивает область записи получателя этой роли адресом подразделения "contoso.com/Engineering/Users". Пользователи, являющиеся членами группы ролей персонала службы поддержки на английском языке, могут создавать, изменять или удалять объекты только в этом подразделении.
Скопировать код | |
---|---|
New-ManagementRoleAssignment -Name "Eng Help Desk_Eng HD Personnel" -Role "Eng Help Desk" -SecurityGroup "Eng HD Personnel" -RecipientOrganizationalUnitScope contoso.com/Engineering/Users |
ПРИМЕР 4
В этом примере группе ролей помощников с расширенными правами в Северной Америке назначается роль групп рассылки. Это назначение ограничивает область записи получателя этой роли областью, указанной в настраиваемой области управления получателями Северной Америки. Пользователи, являющиеся членами группы ролей помощников с расширенными правами в Северной Америке, могут создавать, изменять или удалять только объекты группы рассылки, соответствующие указанной настраиваемой области управления получателями.
Скопировать код | |
---|---|
New-ManagementRoleAssignment -Name "Distribution Groups_North America Exec Assistants" -Role "Distribution Groups" -SecurityGroup "North America Exec Assistants" -CustomRecipientWriteScope "North America Recipients" |
ПРИМЕР 5
В этом примере для Юрия назначается роль серверов Exchange. Поскольку Юрий управляет только серверами под управлением Exchange, расположенными в Москве, назначение роли ограничивает область записи конфигурации этой роли областью, указанной в группе ролей настраеваемых конфигураций серверов Москвы. Юрий может управлять только серверами, которые соответствуют указанной области управления настраеваемых конфигурациями.
Скопировать код | |
---|---|
New-ManagementRoleAssignment -Name "Exchange Servers_John" -Role "Exchange Servers" -User John -CustomConfigWriteScope "Sydney Servers" |
ПРИМЕР 6
В этом примере группе ролей исполнительных администраторов назначается роль получателей почты. Это назначение ограничивает область записи получателя этой роли областью, указанной в монопольной области управления исполнительными получателями. Так как область исполнительных получателей является монопольной, только пользователи группы ролей исполнительных администраторов могут управлять исполнительными получателями, соответсвующих монопольной области получателей. Другие пользователи, не имеющие назначение, использующее монопольную область, соответствующую этим же пользователям, не могут изменять исполнительных получателей.
Скопировать код | |
---|---|
New-ManagementRoleAssignment -Name "Excl-Mail Recipients_Executive Administrators" -Role "Mail Recipients" -SecurityGroup "Executive Administrators" -ExclusiveRecipientWriteScope "Exclusive-Executive Recipients" |
ПРИМЕР 7
В этом примере группе ролей «Contoso Sub - Seattle» назначается роль «Mail Recipients». Администраторы в этой группе ролей должны иметь только возможность создавать и контролировать получателей почты в отдельных базах данных, выделенных для использования подразделению Contoso — корпорации A. Datum (adatum.com). Также этой группе администраторов разрешается управлять только сотрудниками Contoso в офисе в Сиэтле. Это требование реализуется путем создания назначения роли с областью базы данных (для ограничения возможностей управления получателями почты базами данных из области) и с областью подразделения получателей (для ограничения доступа объектами получателей из подразделения «Contoso Seattle»).
Скопировать код | |
---|---|
New-ManagementRoleAssignment -Name "Mail Recipients_Contoso Seattle" -Role "Mail Recipients" -SecurityGroup "Contoso Sub - Seattle" -CustomConfigWriteScope "Contoso Databases" -RecipientOrganizationalUnitScope adatum.com/Contoso/Seattle/Users |