В областях ролей управления определяется, к каким объектам
открывается доступ для пользователя, чтобы их можно было изменять с
помощью назначенных для них командлетов и параметров. Добавляя
область управления, можно настроить назначения ролей управления,
чтобы пользователи могли управлять конкретными серверами, базами
данных, получателями и другими объектами в организации,
одновременно запрещая им изменять другие объекты.
Можно создать настраиваемую область управления и добавить или
изменить назначение ролей управления. Если требуется создать
назначение роли управления с заранее созданной областью управления
или областью управления подразделения, см. раздел Добавление роли для
пользователя или универсальной группы безопасности.
Дополнительные сведения об областях и назначениях ролей
управления в Microsoft Exchange Server 2010 см. в следующих
разделах:
Запись «Роли управления» в разделе Разрешения управления
ролями.
Примечание. |
Для создания настраиваемой области нельзя использовать консоль
управления EMC. |
Чтобы создать настраиваемую область, выберите один из
следующих типов областей.
Область
фильтра получателей
Области на основе фильтров получателей создаются с
помощью параметра RecipientRestrictionFilter командлета
New-ManagementScope. При создании фильтра получателей кроме
добавления свойств получателей для фильтра можно также определить
подразделение, в котором выполняется запрос фильтра. Задание
базового подразделения ограничивает область записи для роли.
Дополнительные сведения о фильтрах областей управления
см. в разделе Общие сведения о
фильтрах областей ролей управления.
Чтобы создать область фильтра ограничения домена с
базовым подразделением, используйте следующий синтаксис.
|
Скопировать код |
New-ManagementScope -Name <scope name> -RecipientRestrictionFilter <filter query> [-RecipientRoot <OU>]
|
В этом примере создается область, содержащая все
почтовые ящики в подразделении contoso.com/Sales.
|
Скопировать код |
New-ManagementScope -Name "Mailboxes in Sales OU" -RecipientRestrictionFilter { RecipientType -eq 'UserMailbox' } -RecipientRoot "contoso.com/Sales OU"
|
Примечание. |
Если нужно применить фильтр ко всей неявной области чтения роли
управления, а не только внутри конкретного подразделения, можно
опустить параметр RecipientRoot. |
Дополнительные сведения о синтаксисе и параметрах см. в
разделе New-ManagementScope.
Область
настройки фильтра сервера
Области конфигурации на основе фильтра серверов
создаются с помощью параметра ServerRestrictionFilter
командлета New-ManagementScope. Фильтр серверов позволяет
создавать область, применяемую только к серверам, соответствующим
заданному фильтру.
Дополнительные сведения о фильтрах области управления и
список фильтруемых свойств сервера см. в разделе Общие сведения о
фильтрах областей ролей управления.
Используйте следующий синтаксис для создания области
фильтра серверов.
|
Скопировать код |
New-ManagementScope -Name <scope name> -ServerRestrictionFilter <filter query>
|
В этом примере создается область, содержащая все
серверы на сайте Seattle AD (Служба каталогов Active
Directory).
|
Скопировать код |
New-ManagementScope -Name "Servers in Seattle AD site" -ServerRestrictionFilter { ServerSite -eq 'Seattle' }
|
Дополнительные сведения о синтаксисе и параметрах см. в
разделе New-ManagementScope.
Область
конфигурации списка серверов
Области конфигурации на основе списка серверов
создаются с помощью параметра ServerList командлета
New-ManagementScope. Область списка серверов позволяет
создавать область, применяемую только к серверам, заданным в
списке.
Используйте следующий синтаксис для создания области
списка серверов.
|
Скопировать код |
New-ManagementScope -Name <scope name> -ServerList <server 1>, <server 2...>
|
В этом примере создается область, применяемая только к
серверам MBX1, MBX3 и MBX5.
|
Скопировать код |
New-ManagementScope -Name "Mailbox servers" -ServerList MBX1,MBX3,MBX5
|
Дополнительные сведения о синтаксисе и параметрах см. в
разделе New-ManagementScope.
Область
настройки фильтра базы данных
Области конфигурации на основе фильтра баз данных
создаются с помощью параметра DatabaseRestrictionFilter
командлета New-ManagementScope. Фильтр баз данных позволяет
создавать область, применяемую только к базам данных,
соответствующим заданному фильтру.
Важно! |
Назначения ролей, связанные с областями баз данных, применяются
только к пользователям, которые подключаются к серверам под
управлением Microsoft Exchange Server 2010 с пакетом обновления 1
(SP1). Если пользователь с назначением ролей, связанным с областью
базы данных, подключается к окончательной первоначальной версии
(RTM) Exchange 2010, то назначение роли не применяется к
пользователю и ему не будут предоставлены разрешения данного
назначения. |
Дополнительные сведения о фильтрах области управления и
список фильтруемых свойств базы данных см. в разделе Общие сведения о
фильтрах областей ролей управления.
Используйте следующий синтаксис для создания фильтра
ограничений баз данных.
|
Скопировать код |
New-ManagementScope -Name <scope name> -DatabaseRestrictionFilter <filter query>
|
В этом примере создается область, включающая в себя все
базы данных, содержащие строку Executive в свойстве
Name.
|
Скопировать код |
New-ManagementScope -Name "Executive Databases" -DatabaseRestrictionFilter { Name -Like '*Executive*' }
|
Дополнительные сведения о синтаксисе и параметрах см. в
разделе New-ManagementScope.
Область
настройки списка баз данных
Области конфигурации на основе списка баз данных
создаются с помощью параметра DatabaseList командлета
New-ManagementScope. Область списка баз данных позволяет
создавать область, применяемую только к базам данных, заданным в
списке.
Важно! |
Назначения ролей, связанные с областями баз данных, применяются
только к пользователям, которые подключаются к серверам под
управлением Microsoft Exchange Server 2010 с пакетом обновления 1
(SP1). Если пользователь с назначением ролей, связанным с областью
базы данных, подключается к окончательной первоначальной версии
(RTM) Exchange 2010, то назначение роли не применяется к
пользователю и ему не будут предоставлены разрешения данного
назначения. |
Используйте следующий синтаксис для создания области
списка баз данных.
|
Скопировать код |
New-ManagementScope -Name <scope name> -DatabaseList <database 1>, <database 2...>
|
В этом примере создается область, которая применяется
только к базам данных Database 1, Database 2 и Database 3.
|
Скопировать код |
New-ManagementScope -Name "Primary databases" -DatabaseList "Database 1", "Database 2", "Database 3"
|
Дополнительные сведения о синтаксисе и параметрах см. в
разделе New-ManagementScope.
Монопольная область
Любую область, созданную с помощью командлета
New-ManagementScope, можно сделать монопольной областью. Для
создания монопольной области используются те же команды, которые
используются в предыдущих разделах для создания области на основе
фильтра получателей, фильтра серверов или списка серверов,
соответственно. После этого к команде добавляется переключатель
Exclusive.
Внимание! |
При создании монопольных областей управления только те
пользователи, кому назначены роли с назначенными монопольными
областями, содержащими изменяемые объекты, могут получить доступ к
этим объектам. Только администраторы, которым назначена роль с
монопольной областью, могут получать доступ к этим исключительным
(или защищенным) объектам. |
В этом примере создается монопольная область на основе
фильтра получателей, соответствующая любому пользователю из отдела
Executives.
|
Скопировать код |
New-ManagementScope "Executive Users Exclusive Scope" -RecipientRestrictionFilter { Department -Eq "Executives" } -Exclusive
|
При создании монопольной области необходимо по
умолчанию подтвердить создание монопольной области и
осведомленность о влиянии монопольной области на существующие
назначения неисключительных ролей. Если требуется отключить
предупреждения, можно использовать переключатель Force. В
этом примере создается та же область, что и в предыдущем примере,
но без предупреждения.
|
Скопировать код |
New-ManagementScope "Executive Users Exclusive Scope" -RecipientRestrictionFilter { Department -Eq "Executives" } -Exclusive -Force
|
Дополнительные сведения о синтаксисе и параметрах см. в
разделе New-ManagementScope.