Применимо к: Exchange Server 2010 SP1
Последнее изменение раздела: 2011-03-19
При использовании связанных групп ролей управления в Microsoft Exchange Server 2010 можно связать группу ролей в лесу ресурсов Exchange 2010 с универсальной группой безопасности во внешнем лесу пользователя. Это полезно при необходимости, чтобы администраторы с учетными записями в лесу пользователя управляли серверами под управлением Exchange в лесу ресурсов. Дополнительные сведения о связанных группах ролей см. в разделе Общие сведения о группах ролей управления.
По умолчанию Exchange 2010 включает в себя несколько встроенных групп ролей, предоставляющих разрешения для управления множеством функций и должностных обязанностей. Каждая группа ролей настроена на предоставление определенных разрешений для каждой функции и должностной обязанности. Однако эти группы ролей могут быть связаны с универсальными группами безопасности во внешнем лесу. Они могут содержать только пользователей и универсальные группы безопасности из леса локальных ресурсов. Однако эти встроенные группы ролей возможно реплицировать с помощью связанных групп ролей.
Можно заново создать каждую встроенную группу ролей как связанную группу ролей. Все роли и области управления, назначенные каждой группе ролей добавляются к новой связанной группе ролей. Дополнительные сведения о ролях и областях управления см. в следующих разделах:
Необходимы сведения о других задачах управления, связанных с группами ролей? См. раздел Управление администраторами и специалистами.
Предварительные условия
- Для настройки связанной группы ролей необходимо одностороннее
доверие между лесом ресурсов Служба каталогов Active Directory, в
котором находится связанная группа ролей и внешним лесом Служба
каталогов Active Directory, в котором находятся пользователи или
универсальные группы безопасности. Лес ресурсов должен иметь
отношения доверия с внешним лесом.
- Необходимо иметь следующие сведения о внешнем лесе Служба
каталогов Active Directory:
- Учетные данные Для доступа к внешнему
лесу Служба каталогов Active Directory необходимо иметь имя
пользователя и пароль. Эти сведения используются с параметром
LinkedCredential в командлете New-RoleGroup. Данные
можно получить с помощью командлета Get-Credential. Формат
имени пользователя выглядит следующим образом:
домен\имя_пользователя.
- Контроллер домена Необходимо иметь
полное доменное имя (FQDN) контроллера домена Служба каталогов
Active Directory во внешнем лесе Служба каталогов Active Directory.
Эти сведения используются с параметром
LinkedDomainController в командлете
New-RoleGroup.
- Внешняя универсальная группа
безопасности Необходимо иметь полное имя
универсальной группы безопасности во внешнем лесу Служба каталогов
Active Directory, содержащем участников, которых необходимо
сопоставить со связанной группой ролей. Эти сведения используются с
параметром LinkedForeignGroup в командлете
New-RoleGroup.
- Учетные данные Для доступа к внешнему
лесу Служба каталогов Active Directory необходимо иметь имя
пользователя и пароль. Эти сведения используются с параметром
LinkedCredential в командлете New-RoleGroup. Данные
можно получить с помощью командлета Get-Credential. Формат
имени пользователя выглядит следующим образом:
домен\имя_пользователя.
Использование командной консоли для создания связанных групп ролей, реплицирующих встроенные группы ролей
Запись «Группы ролей» в разделе Разрешения управления ролями.
Примечание. |
---|
Консоль управления Exchange невозможно использовать для создания связанных групп ролей, реплицирующих встроенные группы ролей. |
В каждом из следующих разделов показано, как создать заново каждую группу ролей как связанную группу ролей. Следуйте инструкциям в каждом разделе для повторного создания всех встроенных групп ролей как связанных групп ролей.
Создание связанной группы ролей управления организацией
Процесс повторного создания группы ролей Управление организацией как связанной группы отличается от процесса повторного создания других встроенных групп ролей. Это связано с тем, что группа ролей Управление организацией имеет назначения ролей делегирования между самой группой и всеми ролями управления. Для повторного создания назначений ролей делегирования требуется дополнительный шаг.
- Создайте универсальную группу безопасности во внешнем лесу,
которая будет связана с группой ролей Управление организацией.
- Сохраните учетные данные внешнего леса Служба каталогов Active
Directory в переменной.
Скопировать код $ForeignCredential = Get-Credential
- Сохраните все роли, назначенные группе ролей Управление
организацией в переменной.
Скопировать код $OrgMgmt = Get-RoleGroup "Organization Management"
- Создайте связанную группу ролей Управление организацией и
добавьте роли, назначенные встроенной группе ролей Управление
организацией.
Скопировать код New-RoleGroup "Organization Management - Linked" -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign ExADNoMk domain controller> -LinkedCredential $ForeignCredential -Roles $OrgMgmt.Roles
- Удалите все обычные назначения между новой связанной группой
ролей Управление организацией и ролями, созданными конечным
пользователем.
Скопировать код Get-ManagementRoleAssignment -RoleAssignee "Organization Management - Linked" -Role My* | Remove-ManagementRoleAssignment
- Добавьте назначения ролей делегирования между новой связанной
группой ролей Управление организацией и всеми ролями
управления.
Скопировать код Get-ManagementRole | New-ManagementRoleAssignment -SecurityGroup "Organization Management - Linked" -Delegating
В этом примере предполагается, что для каждого параметра используются следующие значения:
- LinkedForeignGroup
Organization Management Administrators
-
LinkedDomainController
DC01.users.contoso.com
В этом примере группа ролей Управление организацией создается заново как связанная группа ролей с помощью значений, полученных в предыдущем шаге.
Скопировать код | |
---|---|
$ForeignCredential = Get-Credential $OrgMgmt = Get-RoleGroup "Organization Management" New-RoleGroup "Organization Management - Linked" -LinkedForeignGroup "Organization Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $OrgMgmt.Roles Get-ManagementRoleAssignment -RoleAssignee "Organization Management - Linked" -Role My* | Remove-ManagementRoleAssignment Get-ManagementRole | New-ManagementRoleAssignment -SecurityGroup "Organization Management - Linked" -Delegating |
Создание других связанных групп ролей
Чтобы заново создать встроенные группы ролей (отличные от группы ролей Управление организацией) в качестве связанных групп ролей, используйте следующую процедуру для каждой группы.
- Создайте универсальную группу безопасности во внешнем лесу для
каждой группы ролей, которая будет связана с каждой новой группой
ролей.
- Сохраните учетные данные внешнего леса Служба каталогов Active
Directory в переменной. Это необходимо сделать только один раз.
Скопировать код $ForeignCredential = Get-Credential
- Получите список групп ролей, используя следующий командлет.
Скопировать код Get-RoleGroup
- Для каждой группы ролей, отличной от группы ролей Управление
организацией, выполните следующие действия.
Скопировать код $RoleGroup = Get-RoleGroup <name of role group to re-create> New-RoleGroup "<role group name> - Linked" -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles
- Повторите предыдущий шаг для каждой встроенной группы ролей,
которую необходимо создать заново в качестве связанной группы
ролей.
В этом примере предполагается, что для каждого параметра используются следующие значения:
-
LinkedDomainController
DC01.users.contoso.com
- Встроенные группы ролей, которые будут повторно созданы в
качестве связанных групп ролей
Recipient Management, Server Management
- Внешняя группа для связанной группы ролей управления
получателями
Recipient Management Administrators
- Внешняя группа для связанной группы ролей управления
сервером
Server Management Administrators
В этом примере Управление получателями и группы ролей управления сервером создаются заново как связанные группы ролей с помощью значений, полученных в предыдущем шаге.
Скопировать код | |
---|---|
$ForeignCredential = Get-Credential Get-RoleGroup $RoleGroup = Get-RoleGroup "Recipient Management" New-RoleGroup "Recipient Management - Linked" -LinkedForeignGroup "Recipient Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles $RoleGroup = Get-RoleGroup "Server Management" New-RoleGroup "Server Management - Linked" -LinkedForeignGroup "Server Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles |