Descripción de los grupos de roles de administraciónUnderstanding management role groups

Se aplica a: Exchange Server 2013Applies to: Exchange Server 2013

Un grupo de roles de administración es un grupo de seguridad universal (USG) usado en el modelo de permisos de control de acceso basado en roles (RBAC) en Microsoft Exchange Server 2013.A management role group is a universal security group (USG) used in the Role Based Access Control (RBAC) permissions model in Microsoft Exchange Server 2013. Un grupo de roles de administración simplifica la asignación de roles de administración a un grupo de usuarios.A management role group simplifies the assignment of management roles to a group of users. A todos los miembros de un grupo de funciones se les asigna el mismo conjunto de funciones.All members of a role group are assigned the same set of roles. Los grupos de funciones son funciones de administrador y de especialistas asignadas que definen las tareas administrativas principales de Exchange 2013, tales como la administración de la organización, la administración de destinatarios y otras tareas.Role groups are assigned administrator and specialist roles that define major administrative tasks in Exchange 2013 such as organization management, recipient management, and other tasks. Los grupos de funciones le permiten asignar fácilmente un conjunto de permisos más amplio a un grupo de administradores o usuarios especialistas.Role groups enable you to more easily assign a broader set of permissions to a group of administrators or specialist users.

Nota

Este tema se centra en las funciones avanzadas de RBAC. Si desea administrar los permisos básicos de Exchange 2013, como usar el Panel de control de Exchange (EAC) para agregar y quitar miembros de grupos de roles, crear y modificar grupos de roles o crear y modificar directivas de asignación de roles, consulte Permisos.This topic focuses on advanced RBAC functionality. If you want to manage basic Exchange 2013 permissions, such as using the Exchange admin center (EAC) to add and remove members to and from role groups, create and modify role groups, or create and modify role assignment policies, see Permissions.

Si desea asignar permisos a usuarios para que administren su propio buzón o grupos de distribución, consulte Descripción de las directivas de asignación de roles de administración.If you want to assign permissions to users to manage their own mailbox or distribution groups, see Understanding management role assignment policies.

Capas de grupos de rolesRole group layers

Las siguientes son las capas que constituyen el modelo de grupo de funciones:The following are the layers that make up the role group model:

  • Miembro del grupo de funciones: un miembro del grupo de roles es un buzón de correo, un grupo de seguridad universal (USG) u otro grupo de roles que se puede agregar como miembro de un grupo de roles.Role group member: A role group member is a mailbox, universal security group (USG), or other role group that can be added as a member of a role group. Cuando un buzón de correo, USG u otro grupo de roles se agrega como miembro de un grupo de roles, las asignaciones que se hayan hecho entre los roles de administración y el grupo de roles se aplican al nuevo miembro.When a mailbox, USG, or another role group is added as a member of a role group, the assignments that have been made between management roles and a role group are applied to the new member. Esto otorga al nuevo miembro todos los permisos proporcionados por los roles de administración.This grants the new member all of the permissions provided by the management roles.

  • Grupo de roles de administración: el grupo de roles de administración es un grupo de seguridad universal especial que contiene buzones de correo, GRUPOS de seguridad universal y otros grupos de roles que son miembros del grupo de roles.Management role group: The management role group is a special USG that contains mailboxes, USGs, and other role groups that are members of the role group. Aquí es donde agrega o quita miembros y, además, a donde se asignan las funciones de administración.This is where you add and remove members, and it's also what management roles are assigned to. La combinación de todos los roles de un grupo de roles define todo lo que los miembros agregaron a un grupo de roles de la organización Exchange.The combination of all the roles on a role group defines everything that members added to a role group can manage in the Exchange organization.

  • Asignación de funciones de administración: una asignación de funciones de administración vincula una función de administración y un grupo de funciones.Management role assignment: A management role assignment links a management role and a role group. La asignación de funciones de administración para un grupo de funciones permite que los miembros del grupo de funciones usen los cmdlets y los parámetros definidos en la función de administración.Assigning a management role to a role group grants members of the role group the ability to use the cmdlets and parameters defined in the management role. Las asignaciones de funciones pueden usar ámbitos de administración para controlar dónde se puede usar la asignación.Role assignments can use management scopes to control where the assignment can be used. Para obtener más información, consulte Descripción de las asignaciones de funciones de administración.For more information, see Understanding management role assignments.

  • Ámbito de función de administración: un ámbito de función de administración es el ámbito de influencia o impacto en una asignación de roles.Management role scope: A management role scope is the scope of influence or impact on a role assignment. Cuando una función se asigna con un ámbito a un grupo de funciones, el ámbito de administración define qué objetos puede administrar esa asignación.When a role is assigned with a scope to a role group, the management scope targets specifically what objects that assignment is allowed to manage. La asignación y su ámbito se otorgan luego a los miembros del grupo de funciones, lo cual restringe lo que pueden administrar esos miembros.The assignment, and its scope, are then given to the members of the role group, which restricts what those members can manage. Un ámbito puede estar formado por listas de servidores o bases de datos, unidades organizativas o filtros en los objetos del servidor, la base de datos o los destinatarios.A scope can be made up of lists of servers or databases, organizational units, or filters on server, database or recipient objects. Para obtener más información, consulte Descripción de los ámbitos de roles de administración.For more information, see Understanding management role scopes.

  • Función de administración: una función de administración es un contenedor para una agrupación de entradas de funciones de administración.Management role: A management role is a container for a grouping of management role entries. Las funciones se usan para definir las tareas específicas que pueden realizar los miembros de un grupo de funciones asignados a una función.Roles are used to define the specific tasks that can be performed by the members of a role group assigned the role. Para obtener más información, consulte Descripción de los roles de administración.For more information, see Understanding management roles.

  • Entradas de funciones de administración: las entradas de función de administración son entradas individuales de una función de administración que proporcionan acceso a cmdlets, scripts y otros permisos especiales que permiten el acceso para realizar una tarea específica.Management role entries: Management role entries are the individual entries on a management role that provide access to cmdlets, scripts, and other special permissions that enable access to perform a specific task. La mayoría de las veces, las entradas de roles constan de un solo cmdlet o script y de los parámetros a los cuales se puede tener acceso mediante el rol de administración y, por lo tanto, el grupo de roles al cual se asigna el rol.Most often, role entries consist of a single cmdlet or script and the parameters that can be accessed by the management role, and therefore the role group to which the role is assigned.

La siguiente figura muestra cada una de las capas del grupo de funciones de la lista precedente y cómo todas las capas se relacionan entre sí.The following figure shows each of the role group layers in the preceding list and how each of the layers relates to the other.

Capas del grupo de funciones de administraciónManagement role group layers

Capas del grupo de funciones de administraciónManagement role group layers

Para obtener más información acerca RBAC, consulte Descripción del control de acceso basado en funciones.For more information about RBAC, see Understanding Role Based Access Control.

Administración del grupo de rolesRole group management

Cuando crea un grupo de funciones, usted crea un grupo de seguridad universal que tiene los miembros de un grupo de funciones y crea las asignaciones entre el grupo de funciones y las funciones de administración que especifica. De modo opcional, puede especificar un ámbito de administración para aplicar a las asignaciones de funciones y puede agregar los buzones que desee que sean miembros del nuevo grupo de funciones.When you create a role group, you create the USG that holds the members of the role group, and you create the assignments between the role group and the management roles you specify. Optionally, you can also specify a management scope to apply to the role assignments, and you can add any mailboxes that you want to be members of the new role group.

Después de crear un grupo de funciones, cada capa se convierte en un objeto independiente. El grupo de funciones continúa siendo el punto central donde todas las capas están unidas; sin embargo, cada una de las capas se administra de manera individual. Por ejemplo, para modificar el ámbito de administración que aplicó al grupo de funciones cuando fue creado, necesita cambiar el ámbito de cada asignación de funciones individual después de crear el grupo de funciones. La administración del modelo del grupo de funciones se realiza con los cmdlets que administran las capas individuales del modelo de grupo de funciones.After you create a role group, each layer becomes an independent object. The role group continues to be the central point at which all of the layers are joined together, however, each layer is managed individually. For example, to modify the management scope that you applied to the role group when it was created, you need to change the scope on each individual role assignment after the role group is created. The management of the role group model is performed using the cmdlets that manage the individual layers of the role group model.

La siguiente lista enumera la capa del grupo de funciones y los temas de procedimiento que puede usar para administrar cada capa.The following table lists the role group layer and the procedural topics that you can use to manage each layer.

Temas de administración del grupo de funcionesRole group management topics

Capa del modelo del grupo de funcionesRole group model layer Tema de administraciónManagement topic

Miembro del grupo de rolRole group member

Administrar miembros de grupos de rolesManage role group members

Grupo de funcionesRole group

Administrar grupos de rolesManage role groups

Funciones de administración y asignacionesManagement roles and assignments

Administrar grupos de rolesManage role groups

Entradas de funciones de administraciónManagement role entries

Agregar una entrada de función a una funciónAdd a role entry to a role

Cambiar una entrada de funciónChange a role entry

Quitar una entrada de función de una funciónRemove a role entry from a role

Nota

Modificar las entradas de funciones de administración en funciones de administración de un grupo de funciones es una tarea avanzada y, en la mayoría de los casos, no suele ser necesaria.Changing the management role entries in management roles in a role group is an advanced task and is generally not required in most cases. En cambio, es posible que pueda usar un rol de administración preexistente que se adecue a sus requisitos.Instead, you may be able to use a pre-existing management role that suits your requirements. Para obtener más información, consulte Grupos de funciones integradas.For more information, see Built-in role groups.

Grupos de roles integradosBuilt-in role groups

Los grupos de funciones integrados son funciones que se entregan con Exchange 2013. Proveen un conjunto de grupos de funciones que puede usar para proporcionar niveles variados de permisos administrativos a los grupos de usuarios. Puede agregar usuarios a cualquier grupo de funciones integrado o quitarlos de ellos. Además, puede agregar las asignaciones de funciones a la mayoría de los grupos de funciones o quitarlas de ellos. Las únicas excepciones son las siguientes:Built-in roles groups are roles shipped with Exchange 2013. They provide you with a set of role groups that you can use to provide varying levels of administrative permissions to groups of users. You can add or remove users to or from any built-in role group. You can also add or remove role assignments to or from most role groups. The only exceptions are the following:

  • No puede quitar ninguna asignación de funciones de delegación del grupo de funciones Administración de la organización.You can't remove any delegating role assignments from the Organization Management role group.

  • No puede quitar la función de administración de funciones del grupo de funciones Administración de la organización.You can't remove the Role Management role from the Organization Management role group.

En la siguiente tabla, se enumeran todos los grupos de roles integrados incluidos en Exchange 2013. Para obtener más información sobre los grupos de funciones integrados, consulte Grupos de funciones integradas.The following table lists all the built-in role groups included with Exchange 2013. For more information about built-in role groups, see Built-in role groups.

Grupos de roles integradosBuilt-in role groups

Grupo de funcionesRole group DescripciónDescription

Administración de organizacionesOrganization Management

Los administradores que son miembros del grupo de roles Administración de la organización tienen acceso administrativo a toda la organización de Exchange 2013 y pueden realizar prácticamente todas las tareas relacionadas con los objetos de Exchange 2013, con algunas excepciones. De forma predeterminada, los miembros de este grupo de funciones no pueden realizar búsquedas en el buzón de correo ni administrar funciones de administración de nivel superior sin ámbito.Administrators who are members of the Organization Management role group have administrative access to the entire Exchange 2013 organization and can perform almost any task against any Exchange 2013 object, with some exceptions. By default, members of this role group can't perform mailbox searches and management of unscoped top-level management roles.

Administración de organización de solo lecturaView-only Organization Management

Los administradores que son miembros del grupo de funciones Ver solamente la administración de la organización pueden ver las propiedades de todos los objetos de la organización de Exchange.Administrators who are members of the View Only Organization Management role group can view the properties of any object in the Exchange organization.

Administración de destinatariosRecipient Management

Los administradores miembros del grupo de funciones Recipient Management tienen acceso administrativo para crear o modificar destinatarios de Exchange 2013 dentro de la organización de Exchange 2013.Administrators who are members of the Recipient Management role group have administrative access to create or modify Exchange 2013 recipients within the Exchange 2013 organization.

Administración de MUUM Management

Los administradores que son miembros del grupo de roles UM Management pueden administrar características en la organización Exchange, como la configuración del servicio de mensajería unificada, las propiedades de Mensajería unificada en los buzones, los mensajes de Mensajería unificada y la configuración del operador automático para Mensajería unificada.Administrators who are members of the UM Management role group can manage features in the Exchange organization such as Unified Messaging (UM) service configuration, UM properties on mailboxes, UM prompts, and UM auto attendant configuration.

Administración de la detecciónDiscovery Management

Los administradores o usuarios que son miembros del grupo de roles Discovery Management pueden realizar búsquedas en buzones de correo de la organización de Exchange para obtener datos que cumplan determinados criterios y pueden configurar retenciones por juicio de buzones de correo.Administrators or users who are members of the Discovery Management role group can perform searches of mailboxes in the Exchange organization for data that meets specific criteria and can also configure litigation holds on mailboxes.

Administración de registrosRecords Management

Los usuarios miembros del grupo de funciones Records Management pueden configurar las características de compatibilidad, como las etiquetas de directivas de retención, las clasificaciones de mensajes, las reglas de transporte y más.Users who are members of the Records Management role group can configure compliance features, such as retention policy tags, message classifications, transport rules, and more.

Administración de servidorServer Management

Los administradores que son miembros de este grupo de roles pueden establecer la configuración específica de servidor de transporte, acceso de clientes, y características de buzón, como copias de las bases de datos, certificados, colas de transporte y conectores de envío, directorios virtuales y protocolos de acceso de cliente.Administrators who are members of this role group can configure server-specific configuration of transport , client access, and mailbox features such as database copies, certificates, transport queues and Send connectors, virtual directories, and client access protocols.

Servicio de asistenciaHelp Desk

Los usuarios miembros del grupo de funciones del servicio de asistencia pueden administrar, de manera limitada, los destinatarios de Exchange 2013.Users who are members of the Help Desk role group can perform limited recipient management of Exchange 2013 recipients.

Administración de higieneHygiene Management

Los usuarios que son miembros del grupo de roles Administración de higiene pueden configurar las características contra el correo electrónico no deseado y antimalware de Exchange 2013. Los programas de terceros que se integran con Exchange 2013 pueden agregar cuentas de servicio a este grupo de roles para que dichos programas puedan tener acceso a los cmdlets que se requieren para recuperar y establecer la configuración de Exchange.Users who are members of the Hygiene Management role group can configure the anti-spam and anti-malware features of Exchange 2013. Third-party programs that integrate with Exchange 2013 can add service accounts to this role group to grant those programs access to the cmdlets required to retrieve and configure the Exchange configuration.

Administración de cumplimientoCompliance Management

Los usuarios que son miembros del grupo de roles de administración de cumplimiento pueden configurar y administrar la configuración del cumplimiento de Exchange de acuerdo con sus directivas.Users who are members of the Compliance Management role group can configure and manage Exchange compliance configuration in accordance with their policies.

Administración de carpetas públicasPublic Folder Management

Los administradores que son miembros del grupo de roles Administración de carpetas públicas pueden administrar carpetas públicas en los servidores que ejecuten Exchange 2013.Administrators who are members of the Public Folder Management role group can manage public folders on servers running Exchange 2013.

Configuración delegadaDelegated Setup

Los administradores que pertenecen al grupo de funciones Configuración delegada pueden implementar servidores que ejecutan Exchange 2013 que ya han sido aprovisionados por un miembro del grupo de funciones Administración de la organización.Administrators who are members of the Delegated Setup role group can deploy servers running Exchange 2013 that have been previously provisioned by a member of the Organization Management role group.

Grupos de roles vinculadosLinked role groups

Los grupos de funciones vinculados se usan en una organización que instala Exchange 2013 en un bosque de recursos dedicados y coloca a los usuarios en otros bosques externos de confianza. Los grupos de funciones vinculados, tal como implica el nombre, crean un vínculo entre un grupo de funciones en el bosque de Exchange y el grupo de seguridad universal en un bosque externo. Esto es útil cuando las cuentas de usuario de los servicios de dominio (AD DS) Active Directory de los administradores que desea administrar en Exchange no residen en el mismo bosque de recursos que Exchange. Los grupos de funciones vinculados solamente pueden asociarse con un grupo de seguridad universal externo. Además, no es necesario crear una confianza bidireccional entre el bosque de Exchange y el bosque externo. El bosque de Exchange necesita confiar en el bosque externo, pero no es necesario que el bosque externo confíe en el bosque de Exchange.Linked role groups are used in organizations that install Exchange 2013 in a dedicated resource forest and place users in other, trusted foreign forests. Linked role groups, as the name implies, create a link between a role group in the Exchange forest and a USG in a foreign forest. This is useful when the Active Directory Domain Services (AD DS) user accounts of the administrators you want to administer Exchange don't reside in the same resource forest as Exchange. Linked role groups can only be associated with one foreign USG. Additionally, you don't need to create a two-way trust between the Exchange forest and the foreign forest. The Exchange forest needs to trust the foreign forest but the foreign forest doesn't need to trust the Exchange forest.

Para obtener más información sobre los permisos en las topologías de varios bosques, consulte Descripción de permisos de bosques múltiples.For more information about permissions in multiple-forest topologies, see Understanding multiple-forest permissions.

Un grupo de funciones vinculado consta de dos partes:A linked role group consists of two parts:

  • Grupo de funciones vinculado: el grupo de funciones vinculado es un objeto contenedor que asocia el grupo de seguridad general externo con las asignaciones de funciones de administración asignadas al grupo de funciones.Linked role group: The linked role group is a container object that associates the foreign USG with the management role assignments assigned to the role group.

  • USG externo: el grupo de seguridad general externo contiene los miembros a los que se deben conceder los permisos proporcionados por el grupo de roles vinculado.Foreign USG: The foreign USG contains the members that should be granted the permissions provided by the linked role group.

Cuando crea un grupo de funciones vinculadas, proporciona un controlador de dominio en el bosque externo que contiene los usuarios que desea que manejen el bosque de Exchange y el grupo de seguridad universal que tiene esos usuarios como miembros, el nombre del grupo de seguridad universal y las credenciales requeridas para tener acceso al bosque externo. Exchange agrega el identificador de seguridad (SID) del grupo de seguridad universal externo al grupo de funciones vinculado. Debido a que el SID del grupo de seguridad universal es la única identificación del grupo de seguridad universal externo, se recomienda especificar el bosque externo en el grupo de funciones en caso de que haya varios bosques externos.When you create a linked role group, you provide a domain controller in the foreign forest that contains the users you want to manage the Exchange forest and the USG that contains those users as members, the foreign USG name, and the credentials required to access the foreign forest. Exchange adds the security identifier (SID) of the foreign USG to the linked role group. Because the USG SID is the only identification of the foreign USG, we strongly recommend that you specify the foreign forest in the name of the role group if you have multiple foreign forests.

Un grupo de funciones vinculado no tiene ningún miembro. Todos los miembros de ese grupo de funciones se administran mediante el grupo de seguridad universal externo. Esto significa que no puede usar los cmdlets Update-RoleGroupMember, Add-RoleGroupMember ni Remove-RoleGroupMember para agregar ni para quitar miembros del grupo de funciones. Cuando agrega miembros a un grupo de seguridad universal externo, estos reciben permisos del grupo de funciones vinculado.A linked role group doesn't contain any members. All of the members of that role group are managed using the foreign USG. This means you can't use the Update-RoleGroupMember, Add-RoleGroupMember, or Remove-RoleGroupMember cmdlets to add or remove role group members. When you add members to the foreign USG, they are given the permissions provided by the linked role group.

No puede cambiar un grupo de funciones estándar que contiene miembros propios por un grupo de funciones vinculado (o viceversa). Si desea cambiar un grupo de funciones de un grupo de funciones estándar a un grupo de funciones vinculado, debe crear un grupo de funciones vinculado y replicar las asignaciones de funciones de administración que están presentes en el grupo de funciones estándar del grupo de funciones vinculado. Lo mismo sucede con los grupos de funciones integrados, debido a que son grupos de funciones estándar. Si desea administrar totalmente el bosque de Exchange desde un bosque externo, es necesario crear grupos de roles vinculados nuevos y agregar los roles de administración que existen en los grupos de roles integrados a los grupos de roles vinculados. Para obtener más información acerca de cómo conseguirlo, consulte Crear grupos de funciones vinculadas que reflejan grupos de funciones integradas.You can't change a standard role group, which contains its own members, to a linked role group and vice versa. If you want to change a role group from a standard role group to a linked role group, you must create a new linked role group and replicate the management role assignments that are present on the standard role group on the linked role group. This is also the case for built-in role groups because they're standard role groups. If you want to perform all of the management of your Exchange forest from a foreign forest, you need to create new linked role groups and add the management roles that exist on the built-in role groups to the new linked role groups. For more information about how to accomplish this, see Create linked role groups that mirror built-in role groups.

Delegación de grupo de rolesRole group delegation

De manera predeterminada, los miembros del grupo de funciones Administración de la organización pueden agregar miembros a los grupos de funciones y quitarlos de allí. Sin embargo, es posible que quiera habilitar usuarios que no son miembros del grupo de funciones Administración de la organización para agregar o quitar miembros de los grupos de funciones. Si es así, puede usar la delegación de grupos de funciones.By default, members of the Organization Management role group can add and remove members to and from role groups. However, you might want to enable users who aren't members of the Organization Management role group to add and remove role group members. If so, you can use role group delegation.

La delegación de grupo de funciones está controlada por la propiedad ManagedBy de cada grupo de trabajo. La propiedad ManagedBy contiene una lista de usuarios que pueden agregar o quitar miembros de ese grupo de funciones o cambiar la configuración de un grupo de funciones. Los usuarios no tienen ningún permiso asignado provisto por el grupo de funciones salvo que también sean miembros del grupo de funciones.Role group delegation is controlled by the ManagedBy property on each role group. The ManagedBy property contains a list of users who can add and remove members to and from that role group or change the configuration of a role group. The users aren't assigned any permissions given by the role group unless they're also members of the role group.

Si la propiedad ManagedBy está establecida en el grupo de funciones, solamente los usuarios que están enumerados como administradores de grupos de funciones en esa propiedad pueden modificar un grupo de funciones o la suscripción de un grupo de funciones de manera predeterminada.If the ManagedBy property is set on a role group, only those users who are listed as role group managers on that property can modify a role group or the membership of a role group by default. Sin embargo, un parámetro opcional en los cmdlets que modifican los grupos de funciones o la suscripción de grupos de funciones pueden invalidar esa restricción.However, an optional parameter on cmdlets that modify role groups or role group membership can override that restriction. El modificador BypassSecurityGroupManagerCheck puede ser usado por usuarios que son miembros de la función Administración de la organización o que tienen asignada, directa o indirectamente, la función de administración de administración de funciones.The BypassSecurityGroupManagerCheck switch can be used by users who are members of the Organization Management role or are assigned, either directly or indirectly, the Role Management management role. Cuando se usa este conmutador, la propiedad ManagedBy se ignora y el usuario puede modificar el grupo de funciones o la suscripción del grupo de funciones.When this switch is used, the ManagedBy property is ignored and the user can modify the role group or role group membership.

Si la propiedad ManagedBy no se establece en un grupo de funciones, solo los usuarios que son miembros de la función Administración de la organización o la tienen asignada, ya sea directa o indirectamente, la función de administración de administración de funciones pueden modificar un grupo de funciones o una suscripción de grupos de funciones.If the ManagedBy property isn't set on a role group, only users who are members of the Organization Management role or are assigned, either directly or indirectly, the Role Management management role can modify a role group or role group membership.

Nota

Las funciones asignadas a un grupo de funciones pueden estar asignadas mediante asignaciones de funciones de delegación. Con las asignaciones de funciones de delegación, los miembros de un grupo de funciones que tienen asignada una función delegada pueden asignar esa función a otro grupo de funciones, una directiva de asignación o un grupo de seguridad universal. Los miembros del grupo de funciones pueden asignar solo esa función y no pueden delegar el grupo de funciones salvo que además estén agregados a la propiedad ManagedBy. Para obtener más información sobre las asignaciones de funciones delegadas, consulte Descripción de las asignaciones de funciones de administración.Roles assigned to a role group may be assigned using delegating role assignments. With delegating role assignments, members of a role group that's assigned a delegated role can assign that role to another role group, assignment policy, user, or USG. Members of the role group can assign only that role and can't delegate the role group, unless they're also added to the ManagedBy property. For more information about delegated role assignments, see Understanding management role assignments.

Para obtener más información sobre cómo administrar la delegación de grupos de funciones, consulte Administrar grupos de roles.For more information about how to manage role group delegation, see Manage role groups.

Pertenencia a un grupo de rolesRole group membership

Cuando un usuario se convierte en miembro de un grupo de funciones, las funciones de administración asignadas al grupo de funciones se asignan al usuario. Si un usuario es un miembro de varios grupos de funciones, las funciones de administración de cada grupo de funciones se agregan y asignan al usuario. Los usuarios, los grupos de seguridad universal y otros grupos de funciones pueden ser miembros de grupos de funciones.When a user is made a member of a role group, the management roles assigned to the role group are assigned to the user. If a user is a member of multiple role groups, the management roles from each role group are aggregated and assigned to the user. Users, USGs, and other role groups can be members of role groups.

Solamente los usuarios miembros de Administración de la organización o de los grupos de trabajo de administración de funciones y los usuarios a quienes se les ha delegado la posibilidad de agregar usuarios a los grupos de funciones y quitarlos de allí pueden administrar la suscripción del grupo de funciones.Only users who are members of the Organization Management or Role Management role groups and users who have been delegated the ability to add and remove users to or from role groups can manage role group membership.

Para obtener más información sobre cómo administrar la pertenencia de grupos de roles, consulte Administrar miembros de grupos de roles.For more information about how to manage role group membership, see Manage role group members.

Flujo de trabajo de la creación de un grupo de rolesRole group creation workflow

Como se mencionó anteriormente, un grupo de funciones se compone de varias capas. Para ayudar a comprender qué sucede cuando se crea un grupo de funciones, tenga en cuenta el siguiente ejemplo, el cual crea un grupo de funciones nuevo.As mentioned previously, a role group is made up of several layers. To help you understand what happens when a role group is created, consider the following example, which creates a new role group.

New-RoleGroup -Name "Seattle Recipient Management" -Roles "Mail Recipients", "Distribution Groups", "Move Mailboxes", "UM Mailboxes" -CustomRecipientWriteScope "Seattle Users", -ManagedBy "Brian", "David", "Katie" -Members "Ray", "Jenn", "Maria", "Chris", "Maija", "Carter", "Jenny", "Sam", "Lukas", "Isabel", "Katie"

Cuando se ejecuta el comando anterior, ocurre lo siguiente:When the preceding command is run, the following happens:

  1. Se crea un nuevo objeto de grupo de roles, que es un grupo de seguridad general especial, denominado Administración de destinatarios de Seattle en la unidad organizativa de grupos de seguridad de Microsoft Exchange en el dominio raíz del bosque.A new role group object, which is a special USG, called Seattle Recipient Management is created under Microsoft Exchange Security Groups OU in the forest root domain.

  2. Los buzones de Ray, Jenn, Maria, Chris, Maija, Carter, Jenny, Sam, Lukas, Isabel y Katie se agregan como miembros del grupo de roles. Estos usuarios reciben los permisos proporcionados por este grupo de funciones.The mailboxes for Ray, Jenn, Maria, Chris, Maija, Carter, Jenny, Sam, Lukas, Isabel, and Katie are added as members of the role group. These users receive the permissions provided by this role group.

  3. Los usuarios Brian y David se agregan a la propiedad ManagedBy del grupo de funciones. Estos usuarios pueden agregar miembros al grupo de funciones y quitarlos de allí, pero no tendrán permisos provistos por el grupo de funciones debido a que no son miembros. Katie, también, se agrega a la propiedad de ManagedBy del grupo de funciones. Debido a que se la agrega a la propiedad ManagedBy y ella es miembro del grupo de funciones, ella puede agregar miembros al grupo de funciones, quitarlos de allí y, además, recibe los permisos provistos por el grupo de funciones.The users Brian and David are added to the ManagedBy property of the role group. These users can add and remove members to and from the role group but won't be given any permissions provided by the role group because they're not members. Katie is also added to the ManagedBy property of the role group. Because she's added to the ManagedBy property, and she's a member of the role group, she can add or remove members to and from the role group, and she also receives the permissions provided by the role group.

  4. Se crean las siguientes asignaciones de funciones de administración. Las asignaciones de funciones asignan cada función de administración especificada en el comando del grupo de funciones. A cada asignación de funciones se le agrega el ámbito de administración de usuarios de Seattle. El nombre de cada asignación de funciones es una combinación de la función de administración que se está asignando y el nombre del grupo de funciones.The following management role assignments are created. The role assignments assign each management role specified in the command to the role group. The management scope Seattle Users is added to each role assignment. The name of each role assignment is a combination of the management role being assigned and the role group name.

    • Mail Recipients_Seattle Recipient Management

    • Distribution Groups_Seattle Recipient Management

    • Move Mailboxes_Seattle Recipient Management

    • UM Mailboxes_Seattle Recipient Management

Si compara los resultados de este comando con la figura de las capas del grupo de funciones de administración que aparecen anteriormente en este tema, puede ver en donde se correlaciona cada paso con las capas de grupos de funciones. Después, puede consultar los temas de administración del grupo de roles de administración mostradas anteriormente en "Administración de grupos de roles" de este tema para administrar cada capa del grupo de roles.If you compare the results of this command to the Management role group layers figure earlier in this topic, you can see where each step correlates to the role group layers. You can then refer to the Management role group management topics shown in "Role group management" earlier in this topic to manage each role group layer.