Применимо к: Exchange Server 2010 SP1

Последнее изменение раздела: 2011-04-24

Используйте командлет New-RoleGroup для создания группы ролей управления на сервере под управлением Microsoft Exchange Server 2010.

Синтаксис

New-RoleGroup -Name <String> [-Confirm [<SwitchParameter>]] [-CustomConfigWriteScope <ManagementScopeIdParameter>] [-CustomRecipientWriteScope <ManagementScopeIdParameter>] [-Description <String>] [-DisplayName <String>] [-DomainController <Fqdn>] [-ExternalDirectoryObjectId <String>] [-Force <SwitchParameter>] [-ManagedBy <MultiValuedProperty>] [-Members <MultiValuedProperty>] [-Organization <OrganizationIdParameter>] [-PartnerManaged <SwitchParameter>] [-RecipientOrganizationalUnitScope <OrganizationalUnitIdParameter>] [-Roles <RoleIdParameter[]>] [-SamAccountName <String>] [-ValidationOrganization <String>] [-WhatIf [<SwitchParameter>]]
New-RoleGroup -Name <String> -LinkedPartnerGroupId <String> -LinkedPartnerOrganizationId <String> [-Confirm [<SwitchParameter>]] [-CustomConfigWriteScope <ManagementScopeIdParameter>] [-CustomRecipientWriteScope <ManagementScopeIdParameter>] [-Description <String>] [-DisplayName <String>] [-DomainController <Fqdn>] [-ExternalDirectoryObjectId <String>] [-Force <SwitchParameter>] [-ManagedBy <MultiValuedProperty>] [-Members <MultiValuedProperty>] [-Organization <OrganizationIdParameter>] [-PartnerManaged <SwitchParameter>] [-RecipientOrganizationalUnitScope <OrganizationalUnitIdParameter>] [-Roles <RoleIdParameter[]>] [-SamAccountName <String>] [-ValidationOrganization <String>] [-WhatIf [<SwitchParameter>]]
New-RoleGroup -Name <String> -LinkedDomainController <String> -LinkedForeignGroup <UniversalSecurityGroupIdParameter> [-Confirm [<SwitchParameter>]] [-CustomConfigWriteScope <ManagementScopeIdParameter>] [-CustomRecipientWriteScope <ManagementScopeIdParameter>] [-Description <String>] [-DisplayName <String>] [-DomainController <Fqdn>] [-ExternalDirectoryObjectId <String>] [-Force <SwitchParameter>] [-LinkedCredential <PSCredential>] [-ManagedBy <MultiValuedProperty>] [-Members <MultiValuedProperty>] [-Organization <OrganizationIdParameter>] [-PartnerManaged <SwitchParameter>] [-RecipientOrganizationalUnitScope <OrganizationalUnitIdParameter>] [-Roles <RoleIdParameter[]>] [-SamAccountName <String>] [-ValidationOrganization <String>] [-WhatIf [<SwitchParameter>]]

Параметры

Параметр Обязательный Тип Описание

LinkedDomainController

Обязательный

System.String

Параметр LinkedDomainController задает полное доменное имя или IP-адрес контроллера домена в лесу, в котором расположена внешняя универсальная группа безопасности. Указанный контроллер домена используется для получения сведений о безопасности для внешней универсальной группы безопасности, указанной параметром LinkedForeignGroup.

При использовании параметра LinkedDomainController следует указать внешнюю универсальную группу безопасности с параметром LinkedForeignGroup. Использование параметра Members при этом невозможно.

LinkedForeignGroup

Обязательный

Microsoft.Exchange.Configuration.Tasks.UniversalSecurityGroupIdParameter

Параметр LinkedForeignGroup задает имя внешней универсальной группы безопасности, которую необходимо привязать к этой группе роли. Если имя внешней универсальной группы безопасности содержит пробелы, его необходимо заключить в кавычки (").

При использовании параметра LinkedForeignGroup следует указать контроллер домена в параметре LinkedDomainController. Использование параметра Members при этом невозможно.

LinkedPartnerGroupId

Обязательный

System.String

Этот параметр зарезервирован для внутреннего использования корпорацией Майкрософт.

LinkedPartnerOrganizationId

Обязательный

System.String

Этот параметр зарезервирован для внутреннего использования корпорацией Майкрософт.

Name

Обязательный

System.String

Параметр Name определяет имя новой группы ролей. Имя может содержать не более 64 символов. Если имя содержит пробелы, его необходимо заключить в кавычки (").

Примечание.
При создании связанной группы ролей рекомендуется включить имя внешнего леса в имя группы ролей, что позволит сопоставить связанную группу ролей и сопоставленный внешний лес. Это особенно важно при наличии нескольких лесов.

Confirm

Необязательный

System.Management.Automation.SwitchParameter

Параметр Confirm приостанавливает обработку и требует указать действие, которое будет выполнено командой перед ее возобновлением. Указывать значение параметра Confirm не обязательно.

CustomConfigWriteScope

Необязательный

Microsoft.Exchange.Configuration.Tasks.ManagementScopeIdParameter

Параметр CustomConfigWriteScope указывает существующую область управления на основе настроек для сопоставления с назначениями роли управления, созданными с помощью данной группы ролей. Если имя области управления содержит пробелы, его необходимо заключить в кавычки ("). Чтобы извлечь список существующих областей управления, используйте командлет Get-ManagementScope.

CustomRecipientWriteScope

Необязательный

Microsoft.Exchange.Configuration.Tasks.ManagementScopeIdParameter

Параметр CustomRecipientWriteScope указывает существующую область управления на основе получателя для сопоставления с назначениями роли управления, созданными с помощью данной группы ролей. Если имя области управления содержит пробелы, его необходимо заключить в кавычки (").

Чтобы извлечь список существующих областей управления, используйте командлет Get-ManagementScope.

При использовании параметра CustomRecipientWriteScope невозможно использовать параметр RecipientOrganizationalUnitScope .

Description

Необязательный

System.String

Параметр Description задает описание, которое отображается при просмотре группы ролей с помощью командлета Get-RoleGroup. Заключите это описание в двойные кавычки (").

DisplayName

Необязательный

System.String

Параметр DisplayName определяет понятное имя группы ролей. Если имя содержит пробелы, его необходимо заключить в кавычки ("). Максимальная длина этого параметра равна 256 символам.

DomainController

Необязательный

Microsoft.Exchange.Data.Fqdn

Параметр DomainController указывает имя FQDN контроллера домена, который записывает это изменение конфигурации в Служба каталогов Active Directory.

ExternalDirectoryObjectId

Необязательный

System.String

Этот параметр зарезервирован для внутреннего использования корпорацией Майкрософт.

Force

Необязательный

System.Management.Automation.SwitchParameter

Этот параметр доступен для развертываний с несколькими клиентами В случае локального развертывания он недоступен. Дополнительные сведения о развертывании с несколькими клиентами см. в разделе Multi-Tenant Support.

Параметр Force указывает, следует ли подавлять вывод предупреждений или запросов на подтверждение. Этот параметр применяется в том случае, если задача выполняется программным способом и не требует ввода данных администратором. Если параметр Force не указан в команде, появляется запрос на ввод данных администратором. Указывать значение для этого параметра необязательно.

LinkedCredential

Необязательный

System.Management.Automation.PSCredential

Параметр LinkedCredential указывает учетные данные для доступа к контроллеру домена, заданного параметром LinkedDomainController.

Для этого параметра требуется создание и передача объекта учетных данных. Этот объект учетных данных создается с помощью командлета Get-Credential. Дополнительные сведения см. в разделе Get-Credential.

ManagedBy

Необязательный

Microsoft.Exchange.Data.MultiValuedProperty

Параметр ManagedBy указывает пользователей или универсальные группы безопасности, которые имеют право изменять настройки группы ролей, а также удалять и добавлять участников группы.

Возможно использование имени, различающегося имени или основного адреса SMTP для добавляемого пользователя или универсальной группы безопасности. Если имя пользователя или универсальной группы безопасности содержит пробелы, следует заключить его в кавычки (").

Если требуется добавить несколько пользователей или универсальных групп безопасности, разделите их запятыми.

Members

Необязательный

Microsoft.Exchange.Data.MultiValuedProperty

Параметр Members указывает почтовые ящики или универсальные группы безопасности, добавляемые в качестве участников группы ролей. Возможно использование имени, различающегося имени или основного адреса SMTP для добавляемого пользователя или универсальной группы безопасности. Если имя пользователя или универсальной группы безопасности содержит пробелы, следует заключить его в кавычки ("). Если требуется добавить несколько пользователей или универсальных групп безопасности, разделите их запятыми.

При использовании параметра Members невозможно использовать параметры LinkedForeignGroup, LinkedDomainController или LinkedCredential.

Organization

Необязательный

Microsoft.Exchange.Configuration.Tasks.OrganizationIdParameter

Этот параметр доступен для развертываний с несколькими клиентами В случае локального развертывания он недоступен. Дополнительные сведения о развертывании с несколькими клиентами см. в разделе Multi-Tenant Support.

Параметр Organization указывает организацию, в которой будет выполняться это действие. Этот параметр не допускает ввода подстановочных знаков, поэтому необходимо использовать точное название организации.

PartnerManaged

Необязательный

System.Management.Automation.SwitchParameter

Этот параметр зарезервирован для внутреннего использования корпорацией Майкрософт.

RecipientOrganizationalUnitScope

Необязательный

Microsoft.Exchange.Configuration.Tasks.OrganizationalUnitIdParameter

Параметр RecipientOrganizationalUnitScope указывает область подразделения, добавленную к назначениям ролей, которые были созданы при создании группы ролей. При использовании параметра RecipientOrganizationalUnitScope невозможно использовать параметр CustomRecipientWriteScope. Чтобы указать подразделение, используйте следующую синтаксическую конструкцию: домен/подразделение. Если имя подразделения содержит пробелы, домен и подразделение необходимо заключить в кавычки (").

Roles

Необязательный

Microsoft.Exchange.Configuration.Tasks.RoleIdParameter[]

Параметр Roles указывает роли управления, назначаемые группе ролей при ее создании. Если имя роли содержит пробелы, его необходимо заключить в кавычки ("). Для назначения нескольких ролей разделите их имена запятыми.

Список встроенных ролей управления, которые можно назначить группе ролей, приведен в разделе Встроенные роли управления.

SamAccountName

Необязательный

System.String

Параметр SamAccountName указывает имя для входа, используемое для поддержки клиентов и серверов, работающих под управлением более старых версий операционной системы, например Windows NT 4.0, Windows 98, Windows 95 и LAN Manager. Этот атрибут должен содержать менее 20 знаков.

Если этот параметр не указан, служба каталогов Служба каталогов Active Directory автоматически создаст значение для параметра SamAccountName на основе имени участника-пользователя (UPN).

ValidationOrganization

Необязательный

System.String

Этот параметр зарезервирован для внутреннего использования корпорацией Майкрософт.

WhatIf

Необязательный

System.Management.Automation.SwitchParameter

Параметр WhatIf заставляет команду имитировать действия, которые она будет выполнять с объектом. С помощью параметра WhatIf можно просмотреть изменения, которые могут произойти, не применяя эти изменения. Указывать значение параметра WhatIf не обязательно.

Подробное описание

При создании группы ролей добавлять новых участников не требуется. Тем не менее без добавления участников или назначения ролей в группе ролей группа не будет предоставлять разрешения пользователям. При создании группы ролей можно также указать пользовательскую конфигурацию или области получателей. Эти области применяются к созданным назначениям роли управления при создании группы.

При создании группы ролей добавление пользователей к ней может осуществляться напрямую или через создание связанной группы ролей. Связанная группа ролей связывает группу ролей с универсальной группой безопасности в другом лесе. Создание связанной группы ролей удобно в том случае, если серверы под управлением Exchange расположены в лесе ресурсов, а пользователи и администраторы — в другом пользовательском лесе. При создании связанной группы ролей добавление участников напрямую к ней невозможно. Участников следует добавить в универсальную группу безопасности во внешнем лесе.

Дополнительные сведения о группах ролей см. в разделе Общие сведения о группах ролей управления.

Для запуска этого командлета необходимы соответствующие разрешения. В этом разделе перечислены все параметры командлета, однако некоторые из них могут быть недоступны, если они не включены в назначенные разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Группы ролей» в разделе Разрешения управления ролями.

Типы входных данных

Типы возвращаемых данных

Ошибки

Ошибка Описание

 

Примеры

ПРИМЕР 1

В этом примере создается группа ролей. Роли «Mail Recipients» и «Mail Enabled Public Folders» назначаются в группу ролей, а пользователи «Kim» и «Martin» добавляются в качестве участников. Так как области не предоставлены, пользователи Kim и Martin могут управлять всеми получателями и сбрасывать пароли всех пользователей в организации.

Скопировать код
New-RoleGroup -Name "Limited Recipient Management" -Roles "Mail Recipients", "Mail Enabled Public Folders" -Members Kim, Martin

ПРИМЕР 2

В этом примере создается группа ролей с пользовательской областью получателей. Пользовательская область получателей «Seattle Recipients» ограничивает область ролей, назначенную группе ролей, теми получателями, для которых свойство City имеет значение Seattle. Роли «Mail Recipients» и «Mail Enabled Public Folders» назначаются в группу ролей, а пользователи «John» и «Carol» добавляются в качестве участников.

Скопировать код
New-RoleGroup -Name "Seattle Limited Recipient Management" -Roles "Mail Recipients", "Mail Enabled Public Folders" -Members John, Carol -CustomRecipientWriteScope "Seattle Recipients"

ПРИМЕР 3

D этом примере создается группа ролей, а пользователь Isabel получает право добавлять и удалять участников группы ролей. Для этого данный пользователь добавляется к свойствуManagedBy. Роль «Transport Rules» присвоена к группе ролей, а универсальная группа безопасности «Compliance Group» добавляется в качестве участника.

Скопировать код
New-RoleGroup -Name "Transport Rules Management" -Roles "Transport Rules" -Members "Compliance Group" -ManagedBy Isabel

ПРИМЕР 4

В этом примере создается связанная группа ролей, позволяющая участникам универсальной группы безопасности «Toronto Administrators» в пользовательском лесе Contoso управлять получателями, которые находятся в офисе Toronto. Пользовательская область получателей «Toronto Recipients» ограничивает область ролей, назначенную группе ролей, теми получателями, для которых свойство City имеет значение Toronto. Роль «Mail Recipients» назначена этой группе ролей.

Вначале учетные данные для леса пользователя необходимо сохранить в переменной, чтобы использовать их в командлете New-RoleGroup. Следующая команда извлекает учетные данные с помощью командлета Get-Credential и сохраняет их в переменной $Credentials.

Скопировать код
$Credentials = Get-Credential

Затем связанная группа ролей создается с помощью следующей команды.

Скопировать код
New-RoleGroup -Name "ContosoUsers: Toronto Recipient Admins" -LinkedDomainController dc02.contosousers.contoso.com -LinkedCredential $Credentials -LinkedForeignGroup "Toronto Administrators" -CustomRecipientWriteScope "Toronto Recipients" -Roles "Mail Recipients"

ПРИМЕР 5

В этом примере берется существующая группа ролей, роли из которой копируются в новую пользовательскую группу ролей. Это может быть полезно при создании группы ролей, похожей на существующую, если создавать все назначения ролей вручную нежелательно. Например, можно создать группу ролей, содержащую большинство, но не все, роли управления, назначенные в группу ролей «Recipient Management».

Сначала сохраните существующую группу ролей в переменной с помощью следующей команды.

Скопировать код
$RoleGroup = Get-RoleGroup "Recipient Management"

Затем создайте пользовательскую группу ролей с помощью следующей команды.

Скопировать код
New-RoleGroup "Limited Recipient Management" -Roles $RoleGroup.Roles

Новая группа ролей «Limited Recipient Management» теперь содержит те же роли, что и «Recipient Management». Удалите ненужные назначения ролей с помощью командлета Remove-ManagementRoleAssignment. Например, участникам группы ролей «Limited Recipient Management» не требуется управлять группами рассылки. Используйте следующую команду для удаления назначения роли между ролью управления «Distribution Groups» и группой ролей «Limited Recipient Management».

Скопировать код
Remove-ManagementRoleAssignment "Distribution Groups-Limited Recipient Management"

В этом примере для хранения информации используются переменные. Дополнительные сведения о переменных см. в разделе Пользовательские переменные.