Применимо к: Exchange Server 2010 SP1

Последнее изменение раздела: 2011-03-19

Пользователю или универсальной группе безопасности можно назначить роль управления. Назначение роли пользователю или универсальной группе безопасности позволяет предоставить пользователям права на выполнение задач, зависящих от командлетов, сценариев и соответствующих параметров, определенных в роли управления.

Несмотря на то что роли можно назначать напрямую пользователям и универсальным группам безопасности, рекомендуемым методом предоставления разрешений администраторам и пользователям является использование групп ролей управления и политик назначения ролей управления. Модель предоставления разрешений упрощается за счет использования групп и политик назначения ролей.

Если необходимо назначить роли группе ролей управления или политики назначения ролей управления, см. следующие разделы.

Если следует добавить членов в группу ролей или назначить пользователю политику назначения ролей, см. следующие разделы.

Дополнительные сведения см. в разделе Общие сведения об управлении доступом на основе ролей.

Примечание.
Назначения ролей являются аддитивными. Это означает, что все роли суммируются при оценке. Если пользователю назначены две роли и одна из них содержит командлет, а другая нет, то командлет будет доступен пользователю. По умолчанию назначения ролей не предоставляют право на назначения ролей другим пользователям. Чтобы разрешить пользователю назначать роли другим пользователям или универсальным группам безопасности, см. раздел Назначения роли делегата.

Примечание.

Назначения ролей являются аддитивными. Это означает, что все роли суммируются при оценке. Если пользователю назначены две роли и одна из них содержит командлет, а другая нет, то командлет будет доступен пользователю.

По умолчанию назначения ролей не предоставляют право на назначения ролей другим пользователям. Чтобы разрешить пользователю назначать роли другим пользователям или универсальным группам безопасности, см. раздел Назначения роли делегата.

Чтобы добавить назначение роли, необходимо использовать командную строку.

При создании назначения с областью эта область переопределяет неявную область записи роли. Тем не менее, неявная область чтения данной роли по-прежнему применяется. Новая область не может возвращать объекты, которые находятся за пределами неявной области чтения этой роли. Дополнительные сведения см. в разделе Общие сведения об областях применения ролей управления.

Во всех процедурах, приведенных в этом разделе, используется параметр SecurityGroup для назначения ролей универсальным группам безопасности. Чтобы назначить роль определенному пользователю, воспользуйтесь параметром User вместо параметра SecurityGroup. В остальном синтаксис всех команд одинаков.

Необходимы сведения о других задачах управления, связанных с ролями? См. раздел Управление расширенными разрешениями.

Создание назначения роли без области

Примечание.
Консоль управления EMC нельзя использовать для создания назначения роли без области.

	Скопировать код
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name>

	Скопировать код
New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers"

Создание назначения роли с предварительно определенной относительной областью

Запись «Назначения ролей» в разделе Разрешения управления ролями.

Примечание.
Консоль управления EMC нельзя использовать для создания назначения роли с предварительно определенной относительной областью.

Если предварительно определенная относительная область соответствует бизнес-требованиям, можно применить эту область к назначению роли, а не создавать пользовательскую область. Список предварительно определенных областей и их описания см. в разделе Общие сведения об областях применения ролей управления.

Используйте следующий синтаксис для назначения роли универсальной группе безопасности с предварительно определенной областью.

	Скопировать код
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -RecipientRelativeWriteScope < MyDistributionGroups \| Organization \| Self >

В этом примере роль Exchange Servers назначается универсальной группе безопасности SeattleAdmins, а затем применяется предварительно определенная область Organization.

	Скопировать код
New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers" -RecipientRelativeWriteScope Organization

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

Создание назначения роли с областью, основанной на фильтре получателей

Запись «Назначения ролей» в разделе Разрешения управления ролями.

Примечание.
Консоль управления EMC нельзя использовать для создания назначения роли с областью, основанной на фильтре получателей.

Если создана область, основанная на фильтре получателей, которую следует использовать для назначения роли, необходимо включить область в команду, используемую для назначения роли универсальной группе безопасности, с помощью параметра CustomRecipientWriteScope. При использовании параметра CustomRecipientWriteScope невозможно использовать параметр RecipientOrganizationalUnitScope.

Чтобы добавить область к назначению роли, ее необходимо создать. Дополнительные сведения см. в разделе Создание регулярной или монопольной области.

Используйте следующий синтаксис для назначения роли универсальной группе безопасности с областью, основанной на фильтре получателей.

	Скопировать код
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -CustomRecipientWriteScope <role scope name>

В этом примере роль Mail Recipients назначается универсальной группе безопасности Seattle Recipient Admins, а затем применяется область Seattle Recipients.

	Скопировать код
New-ManagementRoleAssignment -Name "Mail Recipients_Seattle Recipient Admins" -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -CustomRecipientWriteScope "Seattle Recipients"

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

Создание назначения роли с областью настройки на основе сервера, списка или фильтра серверов

Запись «Назначения ролей» в разделе Разрешения управления ролями.

Примечание.
Консоль управления EMC нельзя использовать для создания назначения роли с областью настройки, основанной на фильтре серверов или баз данных.

Если создана область настройки, основанная на списке или фильтре серверов или баз данных, которую следует использовать для назначения роли, необходимо включить область в команду, используемую для назначения роли универсальной группе безопасности, с помощью параметра CustomConfigWriteScope.

Используйте следующий синтаксис для назначения роли универсальной группе безопасности с областью настройки.

	Скопировать код
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -CustomConfigWriteScope <role scope name>

В этом примере роль Exchange Servers назначается универсальной группе безопасности MailboxAdmins, а затем применяется область Mailbox Servers.

	Скопировать код
New-ManagementRoleAssignment -Name "Exchange Servers_MailboxAdmins" -SecurityGroup MailboxAdmins -Role "Exchange Servers" -CustomConfigWriteScope "Mailbox Servers"

В предыдущем примере представлен процесс назначения роли с областью настройки сервера. Синтаксис для добавления области настройки базы данных одинаков. Вместо имени области сервера указывается имя области базы данных.

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

Создание назначения ролей с областью применения в подразделениях

Примечание.
Консоль управления EMC нельзя использовать для создания назначения роли с областью подразделений.

	Скопировать код
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -RecipientOrganizationalUnitScope <OU>

	Скопировать код
New-ManagementRoleAssignment -Name "Mail Recipients_SalesRecipientAdmins" -SecurityGroup SalesRecipientAdmins -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users

Создание назначения ролей с монопольной областью получателей или конфигураций

Запись «Назначения ролей» в разделе Разрешения управления ролями.

Примечание.
Консоль управления EMC нельзя использовать для создания назначения роли с монопольной областью получателей или настройки.

Чтобы создать монопольное назначение ролей с монопольной областью получателей или конфигураций, можно использовать те же процедуры, приведенные в разделах Создание назначения роли с областью, основанной на фильтре получателей и Создание назначения роли с областью настройки на основе сервера, списка или фильтра серверов. Единственное отличие состоит в том, что при создании назначения ролей с монопольной областью, необходимо указать следующие исключительные параметры в зависимости от использования монопольной области получателей или монопольной области конфигураций.

Монопольные области получателей Используйте параметр ExclusiveRecipientWriteScope вместо параметра CustomRecipientWriteScope.
Монопольные области конфигураций Используйте параметр ExclusiveConfigWriteScope вместо параметра CustomConfigWriteScope.

При выполнении этой процедуры пользователи, которым была назначена роль, могут выполнять действия над объектами, включенными в монопольную область. Дополнительные сведения о монопольных областях см. в разделе Общие сведения об исключительных областях.

Нельзя создать назначение ролей одновременно со стандартной и монопольной областью.

В этом примере роль Mail Recipients назначается универсальной группе безопасности Protected User Admins, а затем применяется область Protected Users.

	Скопировать код
New-ManagementRoleAssignment -Name "Mail Recipients_Protected User Admins" -SecurityGroup "Protected User Admins" -Role "Mail Recipients" -ExclusiveRecipientWriteScope "Protected Users"

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.