Crear un ámbito regular o exclusivo

Se aplica a: Exchange Server 2010

Última modificación del tema: 2009-10-19

Los ámbitos de función de administración determinan qué objetos estarán disponibles para un usuario de modo que los objetos se puedan cambiar mediante el uso de parámetros y cmdlets asignados a éstos. Si agrega un ámbito de administración, puede configurar las asignaciones de función de administración para que los usuarios puedan administrar servidores, destinatarios y otros objetos de su organización sin tener permiso para modificar otros objetos.

Importante

Cuando crea un ámbito normal o exclusivo, invalida el ámbito de escritura que se define en la función de administración que va a asignar. No se puede invalidar el ámbito de lectura que está configurado en la función de administración.

En este procedimiento se muestra cómo crear un ámbito de administración personalizado. Si desea crear una asignación de función de administración con un ámbito de administración integrado previamente o de una unidad organizativa (OU), consulteAgregar una función a un usuario o grupo de seguridad universal.

Nota

No puede usar la EMC para crear un ámbito personalizado o para agregar o modificar una asignación de función de administración.

Para obtener más información sobre los ámbitos y las asignaciones de funciones de administración en Microsoft Exchange Server 2010, consulte los siguientes temas:

• Descripción de los ámbitos de roles de administración
• Descripción de las asignaciones de funciones de administración

¿Está buscando otras tareas de administración relacionadas con ámbitos? Consulte Administración de permisos avanzados.

Paso 1: Crear un ámbito personalizado

Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento. Para ver qué permisos necesita, consulte el Entrada "Funciones de administración" en el tema Permisos de administración de funciones.

Para crear un ámbito personalizado, elija uno de estos tipos de ámbito:

• Creación de un ámbito de filtro de destinatario
• Creación de un ámbito de configuración del filtro de servidor
• Creación de un ámbito de configuración de la lista de servidores
• Creación de un ámbito exclusivo

Creación de un ámbito de filtro de destinatario

Los ámbitos basados en filtros de destinatarios se crean usando el parámetro RecipientRestrictionFilter del cmdlet New-ManagementScope. Cuando crea un filtro de destinatarios, además de las propiedades de los destinatarios para filtrar, puede especificar la OU en la que se ejecutará el filtro. Si especifica una OU básica, limita aún más el ámbito de escritura de la función.

Para obtener más información acerca de los filtros de ámbitos de administración, consulte Descripción de filtros de ámbito de funciones de administración.

Use la sintaxis siguiente para crear un ámbito de filtro con restricción de dominio referida a una OU.

New-ManagementScope -Name <scope name> -RecipientRestrictionFilter <filter query> [-RecipientRoot <OU>]

En este ejemplo se crea un ámbito que incluye todos los buzones de la OU contoso.com/Sales.

New-ManagementScope -Name "Mailboxes in Sales OU" -RecipientRestrictionFilter { RecipientType -eq 'UserMailbox' } -RecipientRoot "contoso.com/Sales OU"

Nota

Puede omitir el parámetro RecipientRoot si desea que el filtro se aplique a todo el ámbito de lectura implícito de la función de administración y no sólo a una OU concreta.

Creación de un ámbito de configuración del filtro de servidor

Los ámbitos de configuración basados en filtros de servidores se crean usando el parámetro ServerRestrictionFilter del cmdlet New-ManagementScope. Un filtro de servidores le permite crear un ámbito que se aplica únicamente a los servidores que se correspondan con el filtro que especifique.

Para obtener más información acerca de los filtros de ámbitos de administración, consulte Descripción de filtros de ámbito de funciones de administración.

Use la sintaxis siguiente para crear un filtro de restricción de servidores.

New-ManagementScope -Name <scope name> -ServerRestrictionFilter <filter query>

En este ejemplo se crea un ámbito que incluye todos los servidores del sitio AD de Seattle (Active Directory).

New-ManagementRole -Name "Servers in Seattle AD site" -ServerRestrictionFilter { ServerSite -eq 'Seattle' }

Creación de un ámbito de configuración de la lista de servidores

Los ámbitos de configuración basados en listas de servidores se crean usando el parámetro ServerList del cmdlet New-ManagementScope. Un ámbito basado en listas de servidores le permiten crear un ámbito que se aplica únicamente a los servidores que especifique en una lista.

Use la sintaxis siguiente para crear un ámbito basado en listas de servidores.

New-ManagementScope -Name <scope name> -ServerList <server 1>, <server 2...>

En este ejemplo se crea un ámbito que se aplica sólo a MBX1, MBX3 y MBX5.

New-ManagementScope -Name "Mailbox servers" -ServerList MBX1,MBX3,MBX5

Creación de un ámbito exclusivo

Cualquier ámbito que cree con el cmdlet New-ManagementScope puede llamarse ámbito exclusivo. Para crear un ámbito exclusivo, use los mismos comandos que en las secciones Creación de un ámbito de filtro de destinatario, Creación de un ámbito de configuración del filtro de servidor o Creación de un ámbito de configuración de la lista de servidores para crear un ámbito basado en filtros de destinatarios, en filtros de servidores o en listas de servidores respectivamente y agregue el conmutador Exclusive al comando.

Advertencia

Cuando crea ámbitos de administración exclusivos, solo las personas a las que se han asignado funciones en ámbitos exclusivos que contienen objetos que se van a modificar pueden tener acceso a esos objetos. Solo aquellos administradores a los que se ha asignado una función con ámbito exclusivo puede acceder a dichos objetos exclusivos o protegidos.

En ese ejemplo se crea un ámbito exclusivo basado en un filtro de destinatarios que solo incluye a los usuarios en el departamento "Executives".

New-ManagementScope "Executive Users Exclusive Scope" -RecipientRestrictionFilter { Department -Eq "Executives" } -Exclusive

Cuando se crea un ámbito exclusivo, de manera predeterminada se le solicita que reconozca que ha creado un ámbito exclusivo y que es consciente de los efectos que un ámbito exclusivo tiene en las asignaciones de funciones no exclusivas. Si desea suprimir la advertencia, puede usar el conmutador Force. En este ejemplo se crea el mismo ámbito que en el ejemplo anterior, pero sin advertencia.

New-ManagementScope "Executive Users Exclusive Scope" -RecipientRestrictionFilter { Department -Eq "Executives" } -Exclusive -Force

Paso 2: Agregar o cambiar una asignación de funciones de administración

Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento. Para ver qué permisos necesita, consulte el Entrada "Asignaciones de funciones" en el tema Permisos de administración de funciones.

Una vez creado el ámbito, debe agregarlo a una asignación de funciones de administración nueva o existente.

Si ha creado un ámbito de administración y desea agregarlo a una asignación de funciones de administración nueva que va a crear, consulte los temas siguientes:

• Agregar una función a un grupo de funciones
• Agregar una función a un usuario o grupo de seguridad universal

Si ha creado un ámbito de administración y desea agregarlo a una asignación de funciones de administración existente, consulte los temas siguientes:

• Cambiar el ámbito de asignaciones de funciones en un grupo de funciones
• Modifique una asignación de funciones