Agregar una función a un usuario o grupo de seguridad universal
Se aplica a: Exchange Server 2013
Las asignaciones de roles de administración pueden asignar un rol de administración a un usuario o grupo de seguridad universal (USG). Al asignar un rol a un usuario o USG, permite a esos usuarios realizar tareas dependientes de cmdlets o scripts y sus parámetros definidos en el rol de administración.
Si desea asignar roles a un grupo de roles de administración o a una directiva de asignación de roles de administración, consulte los temas siguientes:
Si desea agregar miembros a un grupo de roles o asignar una directiva de asignación de roles a un usuario final, consulte los temas siguientes:
Para obtener más información, consulte Descripción del control de acceso basado en funciones.
¿Está buscando otras tareas de administración relacionadas con funciones? Consulte Permisos avanzados.
¿Qué necesita saber antes de empezar?
Tiempo estimado para completar cada procedimiento: 5 minutos
Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento o procedimientos. Para ver qué permisos necesita, consulte el Entrada "Asignaciones de roles" en el tema Permisos de administración de roles.
Debe usar el Shell para hacer este tipo de procedimientos.
Aunque puede asignar roles directamente a usuarios y USG, el método recomendado para conceder permisos a administradores y usuarios finales es usar grupos de roles de administración y directivas de asignación de roles de administración. Cuando se usan grupos de roles y directivas de asignación, se simplifica el modelo de permisos.
Las asignaciones de roles son aditivas. Esto significa que todos los roles se agregan juntos cuando se evalúan. Si se asignan dos roles a un usuario y uno contiene un cmdlet, pero el otro no, el cmdlet seguirá estando disponible para el usuario.
De forma predeterminada, las asignaciones de roles no conceden la capacidad de asignar roles a otros usuarios. Para permitir que un usuario asigne roles a otros usuarios o USG, consulte Delegación de asignaciones de roles.
Si crea una asignación con un ámbito, el ámbito invalida el ámbito de escritura implícito del rol. Sin embargo, el ámbito de lectura implícito del rol sigue vigente. El nuevo ámbito no puede devolver objetos fuera del ámbito de lectura implícito del rol. Para obtener más información, consulte Descripción de los ámbitos de roles de administración.
Todos los procedimientos de este tema usan el parámetro SecurityGroup para asignar roles a un USG. Si desea asignar el rol a un usuario específico, use el parámetro User en lugar del parámetro SecurityGroup . El resto de la sintaxis de cada comando es la misma.
Para obtener información acerca de los métodos abreviados de teclado aplicables a los procedimientos de este tema, consulte Métodos abreviados de teclado en el Centro de administración de Exchange.
Sugerencia
¿Problemas? Solicite ayuda en los foros de Exchange. Visite los foros en Exchange Server.
Creación de una asignación de roles sin ámbito
Puede crear una asignación de roles sin ámbito. Al hacer esto, se aplican los ámbitos implícitos de lectura y escritura de la función.
Use la sintaxis siguiente para asignar un rol a un USG sin ningún ámbito.
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name>
En este ejemplo se asigna el rol Servidores Exchange al USG SeattleAdmins.
New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers"
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte New-ManagementRoleAssignment.
Creación de una asignación de roles con un ámbito relativo predefinido
Si un ámbito relativo predefinido cumple los requisitos empresariales, puede aplicar ese ámbito a la asignación de roles en lugar de crear un ámbito personalizado. Para obtener una lista con los ámbitos predefinidos y sus descripciones, consulte Descripción de los ámbitos de roles de administración.
Use la sintaxis siguiente para asignar un rol a un USG con un ámbito predefinido.
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -RecipientRelativeWriteScope < MyDistributionGroups | Organization | Self >
En este ejemplo se asigna el rol Servidores exchange al USG SeattleAdmins y se aplica el ámbito predefinido Organización.
New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers" -RecipientRelativeWriteScope Organization
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte New-ManagementRoleAssignment.
Creación de una asignación de roles con un ámbito basado en filtro de destinatario
Si ha creado un ámbito basado en filtros de destinatarios y quiere usarlo con una asignación de roles, debe incluir el ámbito en el comando usado para asignar el rol a un USG mediante el parámetro CustomRecipientWriteScope . Si usa el parámetro CustomRecipientWriteScope, no puede usar el parámetro RecipientOrganizationalUnitScope.
Para poder agregar un ámbito a una asignación de roles, debe crear uno. Para obtener más información, consulte Creación de un ámbito normal o exclusivo.
Use la sintaxis siguiente para asignar un rol a un USG con un ámbito basado en filtro de destinatario.
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -CustomRecipientWriteScope <role scope name>
En este ejemplo se asigna el rol Destinatarios de correo al USG Administradores de destinatarios de Seattle y se aplica el ámbito Destinatarios de Seattle.
New-ManagementRoleAssignment -Name "Mail Recipients_Seattle Recipient Admins" -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -CustomRecipientWriteScope "Seattle Recipients"
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte New-ManagementRoleAssignment.
Creación de una asignación de roles con un filtro de servidor o base de datos o un ámbito de configuración basado en lista
Si ha creado un filtro de servidor o base de datos o un ámbito de configuración basado en listas y quiere usarlo con una asignación de roles, debe incluir el ámbito en el comando usado para asignar el rol a un USG mediante el parámetro CustomConfigWriteScope .
Para poder agregar un ámbito a una asignación de roles, debe crear uno. Para obtener más información, consulte Creación de un ámbito normal o exclusivo.
Use la sintaxis siguiente para asignar un rol a un USG con un ámbito de configuración.
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -CustomConfigWriteScope <role scope name>
En este ejemplo se asigna el rol Servidores Exchange al USG MailboxAdmins y se aplica el ámbito Servidores de buzones.
New-ManagementRoleAssignment -Name "Exchange Servers_MailboxAdmins" -SecurityGroup MailboxAdmins -Role "Exchange Servers" -CustomConfigWriteScope "Mailbox Servers"
En el ejemplo anterior se muestra cómo agregar una asignación de roles con un ámbito de configuración de servidor. La sintaxis para agregar un ámbito de configuración de base de datos es la misma. Especifique el nombre de un ámbito de base de datos en lugar de un ámbito de servidor.
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte New-ManagementRoleAssignment.
Creación de una asignación de roles con un ámbito de unidad organizativa
Si desea limitar el ámbito de escritura de un rol a una unidad organizativa (OU), puede especificar la unidad organizativa en el parámetro RecipientOrganizationalUnitScope directamente. Si usa el parámetro RecipientOrganizationalUnitScope, no puede usar el parámetro CustomRecipientWriteScope.
Use la sintaxis siguiente para asignar un rol a un USG y restringir el ámbito de escritura de un rol a una unidad organizativa específica.
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -RecipientOrganizationalUnitScope <OU>
En este ejemplo se asigna el rol Destinatarios de correo al USG SalesRecipientAdmins y se limita la asignación a la unidad organizativa sales/users en el dominio contoso.com.
New-ManagementRoleAssignment -Name "Mail Recipients_SalesRecipientAdmins" -SecurityGroup SalesRecipientAdmins -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte New-ManagementRoleAssignment.
Creación de una asignación de roles con un destinatario exclusivo o un ámbito de configuración
Para crear una asignación de roles exclusiva con un destinatario exclusivo o un ámbito de configuración, se pueden usar los mismos procedimientos que se proporcionan en las secciones Crear una asignación de roles con un ámbito basado en filtro de destinatarios y Crear una asignación de roles con un filtro de servidor o base de datos o ámbito de configuración basado en lista. La única diferencia es que al crear una asignación de roles con un ámbito exclusivo, debe especificar los siguientes parámetros exclusivos en función de si usa un ámbito de destinatario exclusivo o un ámbito de configuración exclusivo:
Ámbitos de destinatarios exclusivos: use el parámetro ExclusiveRecipientWriteScope en lugar del parámetro CustomRecipientWriteScope .
Ámbitos de configuración exclusivos: use el parámetro ExclusiveConfigWriteScope en lugar del parámetro CustomConfigWriteScope .
Al realizar este procedimiento, los roles asignados al rol pueden realizar acciones en los objetos incluidos en el ámbito exclusivo. Para obtener más información sobre los ámbitos exclusivos, vea Descripción de ámbitos exclusivos.
No se puede crear una asignación de roles con ámbitos exclusivos y regulares.
En este ejemplo se asigna el rol Destinatarios de correo al USG Administradores de usuarios protegidos y se aplica el ámbito exclusivo Usuarios protegidos.
New-ManagementRoleAssignment -Name "Mail Recipients_Protected User Admins" -SecurityGroup "Protected User Admins" -Role "Mail Recipients" -ExclusiveRecipientWriteScope "Protected Users"
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte New-ManagementRoleAssignment.