Gestire i gruppi di ruoli in Exchange Server
Un gruppo di ruoli di gestione è un gruppo di sicurezza universale (USG) usato nel modello di autorizzazioni RBAC (Role Based Controllo di accesso) in Exchange Server. Il gruppo di ruoli di gestione semplifica l'assegnazione dei ruoli di gestione a un gruppo di utenti. A tutti i membri di un gruppo di ruolo viene assegnato lo stesso insieme di ruoli. Per altre informazioni sui gruppi di ruoli in Exchange Server, vedere Informazioni sui gruppi di ruoli di gestione.
Per le attività di gestione aggiuntive relative a gruppi di ruoli, vedere Autorizzazioni.
Che cosa è necessario sapere prima di iniziare?
Tempo stimato per il completamento di ciascuna procedura: Da 5 a 10 minuti
Per aprire L'interfaccia di amministrazione di Exchange, vedere Interfaccia di amministrazione di Exchange in Exchange Server. Per aprire Exchange Management Shell, vedere Aprire Exchange Management Shell.
Devi disporre delle autorizzazioni per poter eseguire queste procedure. Per sapere quali autorizzazioni sono necessarie, vedere "Gruppi di ruoli" nell'argomento Autorizzazioni per la gestione del ruolo.
Per informazioni sui tasti di scelta rapida che è possibile utilizzare con le procedure in questo argomento, vedere Tasti di scelta rapida nell'interfaccia di amministrazione di Exchange.
Consiglio
Problemi? È possibile richiedere supporto nei forum di Exchange. I forum sono disponibili sui seguenti siti: Exchange Server, Exchange Online o Exchange Online Protection.
Creare un gruppo di ruoli
Se si desidera personalizzare le autorizzazioni che è possibile assegnare a un gruppo di utenti finali, è possibile creare un nuovo gruppo di ruoli di gestione personalizzato.
Utilizzare EAC per creare un gruppo di ruoli
Nell'interfaccia di amministrazione di Exchange passare a Autorizzazioni>Amministrazione Ruoli e quindi fare clic
Nuovo gruppo di ruoli specificare un nome per il nuovo gruppo di ruoli.
È possibile selezionare i ruoli da assegnare al gruppo di ruoli e i membri da aggiungere al gruppo di ruoli; le stesse operazioni possono essere eseguite in un secondo momento.
Selezionare l'ambito di scrittura da applicare al nuovo gruppo di ruoli.
Fare clic su Salva per creare il gruppo di ruoli.
Utilizzare Exchange Management Shell per creare un gruppo di ruoli
Per creare un gruppo di ruoli, vedere la sezione Examples in New-RoleGroup.
Come verificare se l'operazione ha avuto esito positivo
Per verificare la corretta creazione di un gruppo di ruoli, procedere come segue:
Nell'interfaccia di amministrazione di Exchange passare a Autorizzazioni>Amministrazione Ruoli.
Verificare che il nuovo gruppo di ruoli compaia nell'elenco dei gruppi di ruoli e selezionarlo.
Verificare che i membri, i ruoli assegnati e l'ambito specificato nel nuovo gruppo di ruoli siano elencati nel riquadro dei dettagli del gruppo di ruoli.
Copiare un gruppo di ruoli
Utilizzare EAC per copiare un gruppo di ruoli
Se si dispone di un gruppo di ruoli contenente le autorizzazioni che si desidera concedere agli utenti, ma si desidera applicare un ambito di gestione differente o rimuovere o aggiungere uno o due ruoli di gestione senza dover aggiungere tutti gli altri ruoli manualmente, è possibile copiare il gruppo di ruoli esistenti.
Importante
Non è possibile utilizzare EAC per copiare un gruppo di ruoli se è stata utilizzata Exchange Management Shell per configurare più ambiti di ruoli di gestione o ambiti esclusivi nel gruppo di ruoli. Se si sono configurati più ambiti o ambiti esclusivi nel gruppo di ruoli, è necessario utilizzare le procedure Exchange Management Shell descritte più avanti in questo argomento per copiare il gruppo di ruoli. Per ulteriori informazioni sugli ambiti dei ruoli di gestione, vedere Understanding Management Role Scopes.
Nell'interfaccia di amministrazione di Exchange passare a Autorizzazioni>Amministrazione Ruoli.
Selezionare il gruppo di ruoli da copiare e quindi fare clic
Nuovo gruppo di ruoli specificare un nome per il nuovo gruppo di ruoli.
Riesaminare i ruoli copiati nel nuovo gruppo di ruoli. Aggiungere o rimuovere i ruoli necessari.
Riesaminare l'ambito di scrittura e cambiarlo, se necessario.
Riesaminare i membri copiati nel nuovo gruppo di ruoli. Aggiungere o rimuovere membri come necessario.
Fare clic su Salva per creare il gruppo di ruoli.
Copia di un gruppo di ruoli senza ambito tramite Exchange Management Shell
Archiviare il gruppo di ruoli che si desidera copiare in una variabile utilizzando la sintassi seguente.
$RoleGroup = Get-RoleGroup <name of role group to copy>Utilizzare la seguente sintassi per creare il nuovo gruppo di ruoli, aggiungere membri al gruppo di ruoli e specificare gli utenti che possono delegare il gruppo di ruoli ad altri utenti.
New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -Members <member1, member2, member3...> -ManagedBy <user1, user2, user3...>Ad esempio, i seguenti comandi copiano il gruppo di ruoli Gestione organizzazione e denominano il nuovo gruppo di ruoli "Gestione organizzazione limitata". Vengono aggiunti i membri Isabelle, Carter e Lukas che possono essere delegati da Jenny e Katie.
$RoleGroup = Get-RoleGroup "Organization Management" New-RoleGroup "Limited Organization Management" -Roles $RoleGroup.Roles -Members Isabelle, Carter, Lukas -ManagedBy Jenny, Katie
Una volta creato il nuovo gruppo di ruoli, è possibile aggiungere o rimuovere ruoli, modificare l'ambito delle assegnazioni dei ruoli per il ruolo e altro ancora.
Per informazioni dettagliate sulla sintassi e sui parametri, vedere Get-RoleGroup e New-RoleGroup.
Copia di un gruppo di ruoli con ambito personalizzato tramite Exchange Management Shell
Archiviare il gruppo di ruoli che si desidera copiare in una variabile utilizzando la sintassi seguente.
$RoleGroup = Get-RoleGroup <name of role group to copy>Creare il nuovo gruppo di ruoli con un ambito personalizzato utilizzando la sintassi seguente.
New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name>
Ad esempio, i seguenti comandi copiano il gruppo di ruoli Gestione organizzazione e creano un nuovo gruppo di ruoli denominato Gestione organizzazione di Vancouver con l'ambito del destinatario Utenti di Vancouver e l'ambito di configurazione Server di Vancouver.
$RoleGroup = Get-RoleGroup "Organization Management"
New-RoleGroup "Vancouver Organization Management" -Roles $RoleGroup.Roles -CustomRecipientWriteScope "Vancouver Users" -CustomConfigWriteScope "Vancouver Servers"
È anche possibile aggiungere membri al gruppo di ruoli quando viene creato usando il parametro Members , come illustrato in Usare Exchange Management Shell per creare un'assegnazione di ruolo senza ambito in precedenza in questo argomento. Per ulteriori informazioni sugli ambiti di gestione, vedere Understanding Management Scopes.
Una volta creato il nuovo gruppo di ruoli, è possibile aggiungere o rimuovere ruoli, modificare l'ambito delle assegnazioni dei ruoli per il ruolo ed eseguire altre attività.
Per informazioni dettagliate sulla sintassi e sui parametri, vedere Get-RoleGroup e New-RoleGroup.
Copia di un gruppo di ruoli con ambito OU tramite Exchange Management Shell
Archiviare il gruppo di ruoli che si desidera copiare in una variabile utilizzando la sintassi seguente.
$RoleGroup = Get-RoleGroup <name of role group to copy>Creare il nuovo gruppo di ruoli con un ambito personalizzato utilizzando la sintassi seguente.
New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -RecipientOrganizationalUnitScope <OU name>
Ad esempio, i seguenti comandi copiano il gruppo di ruoli Gestione destinatari e creare un nuovo gruppo di ruoli denominato Gestione organizzazione di Toronto che consente di gestire solo gli utenti nell'unità organizzativa Utenti di Toronto.
$RoleGroup = Get-RoleGroup "Recipient Management"
New-RoleGroup "Toronto Recipient Management" -Roles $RoleGroup.Roles -RecipientOrganizationalUnitScope "contoso.com/Toronto Users"
È anche possibile aggiungere membri al gruppo di ruoli quando viene creato usando il parametro Members , come illustrato in Usare Exchange Management Shell per creare un'assegnazione di ruolo senza ambito in precedenza in questo argomento. Per ulteriori informazioni sugli ambiti di gestione, vedere Understanding Management Scopes.
Una volta creato il nuovo gruppo di ruoli, è possibile aggiungere o rimuovere ruoli, modificare l'ambito delle assegnazioni dei ruoli per il ruolo e altro ancora.
Per informazioni dettagliate sulla sintassi e sui parametri, vedere Get-RoleGroup e New-RoleGroup.
Come verificare se l'operazione ha avuto esito positivo
Per verificare la corretta copia di un gruppo di ruoli, procedere come segue:
Nell'interfaccia di amministrazione di Exchange passare a Autorizzazioni>Amministrazione Ruoli.
Verificare che il gruppo di ruoli copiato compaia nell'elenco dei gruppi di ruoli e selezionarlo.
Verificare che i membri, i ruoli assegnati e l'ambito specificato nel gruppo di ruoli copiato siano elencati nel riquadro dei dettagli del gruppo di ruoli.
Rimuovere un gruppo di ruoli
Se un gruppo di ruoli precedentemente creato non è più necessario, è possibile rimuoverlo. Quando questo viene rimosso, verranno eliminate anche le assegnazioni di ruolo di gestione esistenti tra il gruppo di ruoli e i ruoli di gestione. I ruoli di gestione non vengono rimossi. Se il gruppo di ruoli da rimuovere consente a un utente di accedere a una particolare funzionalità, una volta che il gruppo è stato eliminato, questa funzionalità non sarà più accessibile per l'utente. Non è possibile rimuovere i gruppi di ruolo incorporati.
Utilizzare EAC per rimuovere un gruppo di ruoli
Nell'interfaccia di amministrazione di Exchange passare a Autorizzazioni>Amministrazione Ruoli.
Selezionare il gruppo di ruoli da rimuovere e quindi fare clic
Assicurarsi di voler rimuovere il gruppo di ruoli selezionato e rispondere Sì al messaggio di avviso.
Utilizzare Exchange Management Shell per rimuovere un gruppo di ruoli
Per rimuovere un gruppo di ruoli, vedere la sezione Examples in Remove-RoleGroup.
Visualizzare i gruppi di ruoli
È possibile visualizzare un elenco dei gruppi di ruoli o le informazioni dettagliate su uno specifico gruppo di ruoli esistente nell'organizzazione.
Utilizzare EAC per visualizzare un elenco dei gruppi di ruoli e dei dettagli dei gruppi di ruoli
Nell'interfaccia di amministrazione di Exchange passare a Autorizzazioni>Amministrazione Ruoli. Qui sono elencati tutti i gruppi di ruoli dell'organizzazione.
Selezionare un gruppo di ruoli per visualizzarne i membri, i ruoli assegnati e l'ambito configurati nel gruppo di ruoli.
Utilizzare Exchange Management Shell per visualizzare un elenco dei gruppi di ruoli e dei dettagli dei gruppi di ruoli
Per visualizzare un elenco di gruppi di ruoli, vedere la sezione Examples in Get-RoleGroup.
Aggiungere un ruolo a un gruppo di ruoli
L'aggiunta di un ruolo a un gruppo di ruoli costituisce il metodo più semplice ed efficiente per concedere autorizzazioni a un gruppo di amministratori o utenti esperti. Se si desidera che i membri di un gruppo di ruoli siano in grado di gestire una determinata funzionalità, è necessario aggiungere il ruolo di gestione per tale funzionalità al gruppo di ruoli. Dopo l'aggiunta del ruolo, ai membri del gruppo di ruoli vengono concesse le autorizzazioni fornite dal ruolo.
Utilizzare EAC per aggiungere un ruolo di gestione a un gruppo di ruoli
Importante
Non è possibile utilizzare EAC per aggiungere ruoli a un gruppo di ruoli se è stata utilizzata Exchange Management Shell per configurare più ambiti di ruoli di gestione o ambiti esclusivi nel gruppo di ruoli. Se si sono configurati più ambiti o ambiti esclusivi nel gruppo di ruoli, è necessario utilizzare le procedure Exchange Management Shell descritte più avanti in questo argomento per aggiungere ruoli al gruppo di ruoli. Per ulteriori informazioni sugli ambiti dei ruoli di gestione, vedere Understanding Management Role Scopes.
Nell'interfaccia di amministrazione di Exchange passare a Autorizzazioni>Amministrazione Ruoli.
Selezionare il gruppo di ruoli a cui si vuole aggiungere un ruolo e quindi fare clic
Nella sezione Ruoli, selezionare i ruoli che si desidera aggiungere al gruppo di ruoli.
Una volta terminata l'aggiunta di ruoli al gruppo di ruoli, fare clic su Salva.
Creazione di un'assegnazione di ruolo senza ambito tramite Exchange Management Shell
È possibile creare un'assegnazione di ruolo priva di ambito tra un ruolo e un gruppo di ruolo. Quando si esegue questa operazione, vengono applicati gli ambiti di scrittura e di lettura impliciti del ruolo.
Utilizzare la seguente sintassi per assegnare un ruolo privo di ambito a un gruppo di ruolo. Se non si specifica un nome per l'assegnazione di ruolo, ne verrà creato uno automaticamente.
New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name>
Con questo esempio viene assegnato il ruolo di gestione Transport Rules al gruppo di ruolo Seattle Compliance.
New-ManagementRoleAssignment -SecurityGroup "Seattle Compliance" -Role "Transport Rules"
Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-ManagementRoleAssignment.
Creazione di un'assegnazione di ruolo con un ambito predefinito tramite Exchange Management Shell
Se un ambito predefinito consente di soddisfare i requisiti aziendali, è possibile applicare tale ambito all'assegnazione di ruolo, senza crearne uno nuovo. Per un elenco degli ambiti predefiniti e le relative descrizioni, vedere Understanding Management Role Scopes.
Per ulteriori informazioni sulle assegnazioni di ruolo, vedere Understanding Management Role Assignments.
Utilizzare la seguente sintassi per assegnare un ruolo a un gruppo di ruolo con un ambito predefinito. Se non si specifica un nome per l'assegnazione di ruolo, ne verrà creato uno automaticamente.
New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -RecipientRelativeWriteScope < MyGAL | MyDistributionGroups | Organization | Self >
Con questo esempio viene assegnato il ruolo Message Tracking al gruppo di ruolo Enterprise Support e viene applicato l'ambito predefinito Organization.
New-ManagementRoleAssignment -SecurityGroup "Enterprise Support" -Role "Message Tracking" -RecipientRelativeWriteScope Organization
Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-ManagementRoleAssignment.
Creazione di un'assegnazione di ruolo con un ambito basato su un filtro destinatari tramite Exchange Management Shell
Se è stato creato un ambito basato su filtro del destinatario, è necessario includere l'ambito nel comando usato per assegnare il ruolo a un gruppo di ruoli usando il parametro CustomRecipientWriteScope .
È inoltre possibile includere un ambito di scrittura della configurazione durante la creazione di un'assegnazione di ruolo con un ambito di scrittura dei destinatari.
Per ulteriori informazioni sulle assegnazioni dei ruoli e sugli ambiti, vedere i seguenti argomenti:
Utilizzare la seguente sintassi per assegnare un ruolo a un gruppo di ruolo con un ambito basato su un filtro destinatari. Se non si specifica un nome per l'assegnazione di ruolo, ne verrà creato uno automaticamente.
New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -CustomRecipientWriteScope <role scope name>
Con questo esempio viene assegnato il ruolo Message Tracking al gruppo di ruolo Seattle Recipient Admins e viene applicato l'ambito Seattle Recipients.
New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Message Tracking" -CustomRecipientWriteScope "Seattle Recipients"
Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-ManagementRoleAssignment.
Creazione di un'assegnazione di ruolo con un ambito di configurazione tramite Exchange Management Shell
Se è stato creato un filtro di configurazione del server o del database o un ambito basato su elenco, è necessario includere l'ambito nel comando usato per assegnare il ruolo a un gruppo di ruoli usando il parametro CustomConfigWriteScope .
È inoltre possibile includere un ambito di scrittura dei destinatari durante la creazione di un'assegnazione di ruolo con un ambito di scrittura della configurazione.
Per ulteriori informazioni sulle assegnazioni dei ruoli e sugli ambiti di gestione, vedere gli argomenti seguenti:
Per assegnare un ruolo a un gruppo di ruoli con un ambito di configurazione, utilizzare la sintassi seguente. Se non si specifica un nome per l'assegnazione di ruolo, ne verrà creato uno automaticamente.
New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -CustomConfigWriteScope <role scope name>
Con questo esempio viene assegnato il ruolo Databases al gruppo di ruolo Seattle Server Admins e viene applicato l'ambito Seattle Servers.
New-ManagementRoleAssignment -SecurityGroup "Seattle Server Admins" -Role "Databases" -CustomConfigWriteScope "Seattle Servers"
Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-ManagementRoleAssignment.
Creazione di un'assegnazione di ruolo con un ambito OU tramite Exchange Management Shell
Se si vuole definire l'ambito di scrittura di un ruolo in un'unità organizzativa, è possibile specificare direttamente l'unità organizzativa nel parametro RecipientOrganizationalUnitScope .
Per altre informazioni sulle assegnazioni dei ruoli e sugli ambiti di gestione, vedere gli argomenti seguenti:
Utilizzare il seguente comando per assegnare un ruolo a un gruppo di ruolo e limitare l'ambito di scrittura del ruolo a un'unità organizzativa specifica. Se non si specifica un nome per l'assegnazione di ruolo, ne verrà creato uno automaticamente.
New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -RecipientOrganizationalUnitScope <OU>
Con questo esempio viene assegnato il ruolo Mail Recipients al gruppo di ruolo Seattle Recipient Admins e viene applicato l'ambito all'assegnazione Sales\Users OU nel dominio Contoso.com.
New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users
Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-ManagementRoleAssignment.
Come verificare se l'operazione ha avuto esito positivo
Per verificare la corretta aggiunta di ruoli a un gruppo di ruoli, procedere come segue:
Nell'interfaccia di amministrazione di Exchange passare a Autorizzazioni>Amministrazione Ruoli.
Selezionare il gruppo di ruoli a cui sono stati aggiunti i ruoli. Nel riquadro dei dettagli del gruppo di ruoli, verificare che siano elencati i ruoli che sono stati aggiunti.
Rimuovere un ruolo da un gruppo di ruoli
La rimozione di un ruolo da un gruppo di ruoli di gestione è il metodo migliore e più semplice per revocare le autorizzazioni concesse a un gruppo di amministratori o di utenti esperti. Per non concedere ad amministratori o utenti esperti le autorizzazioni per la gestione di una funzionalità, rimuovere il ruolo di gestione dal gruppo di ruoli di gestione che gestisce le autorizzazioni. Una volta rimosso il ruolo, i membri del gruppo di ruoli non disporranno più delle autorizzazioni necessarie per la gestione della funzionalità.
Nota
Alcuni gruppi di ruolo, ad esempio il gruppo di ruolo Gestione organizzazione, pongono limiti sui ruoli che possono essere rimossi dal gruppo di ruolo. Per ulteriori informazioni, vedere Understanding Management Role Groups. > Se un amministratore è membro di un altro gruppo di ruoli che contiene ruoli di gestione che concede le autorizzazioni per gestire la funzionalità, è necessario rimuovere l'amministratore dagli altri gruppi di ruoli o rimuovere il ruolo che concede le autorizzazioni per gestire la funzionalità dagli altri gruppi di ruoli.
Utilizzare EAC per rimuovere un ruolo di gestione da un gruppo di ruoli
Importante
Non è possibile utilizzare EAC per rimuovere ruoli da un gruppo di ruoli se è stata utilizzata Exchange Management Shell per configurare più ambiti o ambiti esclusivi nel gruppo di ruoli. Se si sono configurati più ambiti o ambiti esclusivi nel gruppo di ruoli, è necessario utilizzare le procedure Exchange Management Shell descritte più avanti in questo argomento per rimuovere ruoli dal gruppo di ruoli. Per ulteriori informazioni sugli ambiti dei ruoli di gestione, vedere Understanding Management Role Scopes.
Nell'interfaccia di amministrazione di Exchange passare a Autorizzazioni>Amministrazione Ruoli.
Selezionare il gruppo di ruoli da cui si vuole rimuovere un ruolo e quindi fare clic
Nella sezione Ruoli, selezionare i ruoli che si desidera rimuovere dal gruppo di ruoli.
Una volta terminata la rimozione di ruoli dal gruppo di ruoli, fare clic su Salva.
Rimozione di un ruolo da un gruppo di ruolo tramite Exchange Management Shell
Per rimuovere i ruoli dai gruppi di ruoli, recuperare l'assegnazione del ruolo di gestione associato utilizzando il cmdlet Get-ManagementRoleAssignment ed eseguire il piping dell'assegnazione del ruolo restituita al cmdlet Remove-ManagementRoleAssignment. A meno che non si voglia rimuovere contemporaneamente sia le assegnazioni di ruolo di delega che le assegnazioni di ruolo regolari, specificare il parametro Delegating per specificare se si desidera rimuovere le assegnazioni di ruolo regolari o di delega.
Per ulteriori informazioni sulle assegnazioni del ruolo di delega, vedere Understanding Management Role Assignments.
Questa procedura utilizza il pipelining. Per altre informazioni sul pipelining, vedere about_Pipelines.
Per rimuovere un ruolo da un gruppo di ruoli, utilizzare la seguente sintassi.
Get-ManagementRoleAssignment -RoleAssignee <role group name> -Role <role name> -Delegating <$true | $false> | Remove-ManagementRoleAssignment
In questo esempio viene rimosso il ruolo Distribution Groups, che consente agli amministratori di gestire i gruppi di distribuzione, dal gruppo di ruoli Seattle Recipient Administrators. Poiché si vuole rimuovere l'assegnazione di ruolo che fornisce le autorizzazioni per gestire i gruppi di distribuzione, il parametro Delegating è impostato su $False, che restituisce solo assegnazioni di ruolo regolari.
Get-ManagementRoleAssignment -RoleAssignee "Seattle Recipient Administrators" -Role "Distribution Groups" -Delegating $false | Remove-ManagementRoleAssignment
Per informazioni dettagliate sulla sintassi e sui parametri, vedere Remove-ManagementRoleAssignment.
Come verificare se l'operazione ha avuto esito positivo
Per verificare la corretta rimozione dei ruoli da un gruppo di ruoli, procedere come segue:
Nell'interfaccia di amministrazione di Exchange passare a Autorizzazioni>Amministrazione Ruoli.
Selezionare il gruppo di ruoli da cui sono stati rimossi i ruoli. Nel riquadro dei dettagli del gruppo di ruoli, verificare che non siano più elencati i ruoli che sono stati rimossi.
Modificare l'ambito di un gruppo di ruoli
Le assegnazioni dei ruoli di gestione tra un gruppo di ruoli e un ruolo contengono ambiti di gestione che determinano gli oggetti disponibili per i membri di tale gruppo di ruoli. Modificando un ambito di scrittura in un gruppo di ruoli, è possibile modificare gli oggetti disponibili per i membri del gruppo di ruoli da creare, modificare o rimuovere. Non è possibile modificare l'ambito di lettura su un gruppo di ruoli.
Exchange Server include ambiti che vengono applicati per impostazione predefinita alle assegnazioni di ruolo quando non vengono creati ambiti personalizzati. Se si desidera utilizzare un ambito personalizzato con un'assegnazione dei ruoli su un gruppo di ruoli, è necessario crearne prima uno. Per ulteriori informazioni sulla creazione degli ambiti personalizzati, che è un'attività avanzata, vedere Create a Regular or Exclusive Scope.
Per altre informazioni sugli ambiti e le assegnazioni dei ruoli di gestione in Exchange Server, vedere gli argomenti seguenti:
Utilizzare EAC per modificare l'ambito in un gruppo di ruoli
Quando si utilizza EAC per modificare l'ambito in un gruppo di ruoli, si sta effettivamente modificando l'ambito in tutte le assegnazioni dei ruoli tra il gruppo di ruoli e tutti i ruoli di gestione assegnati al gruppo di ruoli. Se si desidera modificare l'ambito in determinate assegnazioni dei ruoli, è necessario utilizzare le procedure di Exchange Management Shell descritte più avanti in questo argomento.
Importante
Non è possibile utilizzare EAC per gestire gli ambiti nelle assegnazioni dei ruoli tra i ruoli e un gruppo di ruoli se si sono configurati più ambiti o ambiti esclusivi in tali assegnazioni dei ruoli tramite Exchange Management Shell. Se si sono configurati più ambiti o ambiti esclusivi in tali assegnazioni dei ruoli, è necessario utilizzare le procedure Exchange Management Shell descritte più avanti in questo argomento per gestire gli ambiti. Per ulteriori informazioni sugli ambiti dei ruoli di gestione, vedere Understanding Management Role Scopes.
Nell'interfaccia di amministrazione di Exchange passare a Autorizzazioni>Amministrazione Ruoli.
Selezionare il gruppo di ruoli in cui si vuole modificare l'ambito e quindi fare clic
Selezionare una delle due opzioni Ambito di scrittura riportate di seguito:
Un ambito di scrittura dalla casella di riepilogo a discesa, dove è possibile selezionare sia l'ambito di scrittura predefinito sia un ambito di scrittura personalizzato.
Unità organizzativa: selezionare questa opzione e specificare un'unità organizzativa se si vuole definire l'ambito di questo gruppo di ruoli in un'unità organizzativa.
Fare clic su Salva per salvare le modifiche al gruppo di ruoli.
Modifica contemporanea dell'ambito di tutte le assegnazioni di ruolo su un gruppo di ruoli tramite Exchange Management Shell
Le assegnazioni dei ruoli tra il gruppo di ruoli e i ruoli assegnati ad esso possono utilizzare l'ambito implicito ottenuto dai ruoli stessi, lo stesso ambito personalizzato o diversi ambiti personalizzati. Per ulteriori informazioni sulle assegnazioni di ruolo, vedere Understanding Management Role Assignments.
Gli ambiti delle assegnazioni dei ruoli vengono gestiti mediante il cmdlet Set-ManagementRoleAssignment. Non è possibile gestire gli ambiti utilizzando il cmdlet Set-RoleGroup.
Per modificare contemporaneamente l'ambito di tutte le assegnazioni di ruolo tra un gruppo di ruoli e un gruppo di ruoli di gestione, è necessario prima recuperare le assegnazioni di ruolo sul gruppo di ruoli, quindi impostare il nuovo ambito su ciascuna assegnazione. È possibile eseguire l'operazione utilizzando il cmdlet Get-ManagementRoleAssignment per recuperare le assegnazioni di ruolo, quindi eseguire il pipelining al cmdlet Set-ManagementRoleAssignment.
In questa procedura vengono utilizzati i concetti relativi al pipelining e all'opzione WhatIf . Per ulteriori informazioni, vedere i seguenti argomenti:
Per configurare contemporaneamente l'ambito su tutte le assegnazioni di ruolo su un gruppo di ruoli, utilizzare la sintassi seguente.
Get-ManagementRoleAssignment -RoleAssignee <name of role group> | Set-ManagementRoleAssignment -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name> -RecipientRelativeScopeWriteScope < MyDistributionGroups | Organization | Self> -ExclusiveRecipientWriteScope <exclusive recipient scope name> -ExclusiveConfigWriteScope <exclusive configuration scope name> -RecipientOrganizationalUnitScope <organizational unit>
Utilizzare solo i parametri necessari per la configurazione dell'ambito desiderato. Ad esempio, se si desidera modificare l'ambito destinatari per tutte le assegnazioni di ruolo sul gruppo di ruoli Sales Recipient Management in Direct Sales Employees, utilizzare il comando seguente.
Get-ManagementRoleAssignment -RoleAssignee "Sales Recipient Management" | Set-ManagementRoleAssignment -CustomRecipientWriteScope "Direct Sales Employees"
Nota
È possibile usare l'opzione WhatIf per verificare che vengano modificate solo le assegnazioni di ruolo da modificare. Eseguire il comando precedente con l'opzione WhatIf per verificare i risultati e quindi rimuovere l'opzione WhatIf per applicare le modifiche.
Per ulteriori informazioni sulla modifica delle assegnazioni del ruolo di gestione, vedere Change a Role Assignment.
Per informazioni dettagliate sulla sintassi e sui parametri, vedere Get-ManagementRoleAssignment.
Modifica dell'ambito delle singole assegnazioni di ruolo su un gruppo di ruoli tramite Exchange Management Shell
Le assegnazioni dei ruoli tra il gruppo di ruoli e i ruoli assegnati ad esso possono utilizzare l'ambito implicito ottenuto dai ruoli stessi, lo stesso ambito personalizzato o diversi ambiti personalizzati. Per ulteriori informazioni sulle assegnazioni di ruolo, vedere Understanding Management Role Assignments.
Gli ambiti delle assegnazioni dei ruoli vengono gestiti mediante il cmdlet Set-ManagementRoleAssignment. Non è possibile gestire gli ambiti utilizzando il cmdlet Set-RoleGroup.
In questa procedura, vengono utilizzati i concetti di pipeline e il cmdlet Format-List. Per ulteriori informazioni, vedere i seguenti argomenti:
Per modificare l'ambito su un'assegnazione di ruolo tra un gruppo di ruoli e un ruolo di gestione, è necessario prima individuare il nome dell'assegnazione di ruolo, quindi configurare l'ambito sull'assegnazione di ruolo.
Per individuare i nomi di tutte le assegnazioni di ruolo su un gruppo di ruoli, utilizzare il comando seguente. Eseguendo il pipelining delle assegnazioni del ruolo di gestione al cmdlet Format-List, è possibile visualizzare il nome completo dell'assegnazione.
Get-ManagementRoleAssignment -RoleAssignee <role group name> | Format-List NameTrovare il nome dell'assegnazione di ruolo che si desidera modificare. Utilizzare il nome dell'assegnazione di ruolo nel passo successivo.
Per configurare l'ambito su una singola assegnazione, utilizzare la sintassi seguente.
Set-ManagementRoleAssignment <role assignment name> -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name> -RecipientRelativeScopeWriteScope < MyDistributionGroups | Organization | Self> -ExclusiveRecipientWriteScope <exclusive recipient scope name> -ExclusiveConfigWriteScope <exclusive configuration scope name> -RecipientOrganizationalUnitScope <organizational unit>
Utilizzare solo i parametri necessari per la configurazione dell'ambito desiderato. Ad esempio, se si desidera modificare l'ambito destinatari per l'assegnazione di ruolo Mail Recipients_Sales Recipient Management in All Sales Employees, utilizzare il comando seguente.
Set-ManagementRoleAssignment "Mail Recipients_Sales Recipient Management" -CustomRecipientWriteScope "All Sales Employees"
Per ulteriori informazioni sulla modifica delle assegnazioni del ruolo di gestione, vedere Change a Role Assignment.
Per informazioni dettagliate sulla sintassi e sui parametri, vedere Set-ManagementRoleAssignment.
Come verificare se l'operazione ha avuto esito positivo
Per verificare la corretta modifica dell'ambito di un'assegnazione di ruolo in un gruppo di ruoli, procedere come segue:
Se è stata utilizzata EAC per configurare l'ambito nel gruppo di ruoli, procedere come segue:
Nell'interfaccia di amministrazione di Exchange passare a Autorizzazioni>Amministrazione Ruoli. Qui sono elencati i gruppi di ruoli nell'organizzazione.
Selezionare un gruppo di ruoli per visualizzare l'ambito configurato nel gruppo di ruoli.
Se è stata utilizzata Exchange Management Shell per configurare l'ambito nel gruppo di ruoli, procedere come segue:
Eseguire il comando riportato di seguito in Exchange Management Shell.
Get-ManagementRoleAssignment -RoleAssignee <role group name> | Format-Table *WriteScopeVerificare che l'ambito di scrittura nelle assegnazioni di ruolo sia stato cambiato nell'ambito specificato.
Aggiungere o rimuovere un delegato del gruppo di ruoli
I delegati del gruppo di ruoli sono utenti o gruppi di protezione universali (USG), che possono aggiungere o rimuovere i membri da un gruppo di ruolo o modificare le proprietà di un gruppo di ruolo. Con l'aggiunta o la rimozione di delegati del gruppo di ruolo, è possibile controllare chi è autorizzato a gestire un gruppo di ruolo.
Importante
Dopo aver aggiunto un delegato a un gruppo di ruolo, il gruppo di ruolo può essere gestito solo dai delegati del gruppo o dagli utenti a cui viene assegnato, direttamente o indirettamente, il ruolo di gestione. > Se un utente viene assegnato, direttamente o indirettamente, al ruolo Gestione ruoli e non viene aggiunto come delegato del gruppo di ruoli, l'utente deve usare l'opzione BypassSecurityGroupManagerCheck sui cmdlet Add-RoleGroupMember, Remove-RoleGroupMember, Update-RoleGroupMember e Set-RoleGroup per gestire un gruppo di ruoli.
Nota
Non è possibile utilizzare EAC per aggiungere un delegato a un gruppo di ruoli.
Utilizzare Exchange Management Shell per aggiungere un delegato a un gruppo di ruolo
Per modificare l'elenco dei delegati in un gruppo di ruoli, usare il parametro ManagedBy nel cmdlet Set-RoleGroup . Il parametro ManagedBy sovrascrive l'intero elenco di delegati nel gruppo di ruoli. Se si desidera aggiungere delegati al gruppo di ruolo piuttosto che sostituire l'intero elenco dei delegati, utilizzare i seguenti passi:
Archiviare il gruppo di ruoli in una variabile utilizzando il comando seguente.
$RoleGroup = Get-RoleGroup <role group name>Aggiungere il delegato al gruppo di ruolo memorizzato nella variabile utilizzando il seguente comando.
$RoleGroup.ManagedBy += (Get-User <user to add>).IdentityNota
Utilizzare il cmdlet di Get-Group se si desidera aggiungere un gruppo di protezione universale.
Ripetere il passo 2 per ogni delegato che si desidera aggiungere.
Applicare il nuovo elenco di delegati al gruppo di ruoli attuale utilizzando il comando seguente.
Set-RoleGroup <role group name> -ManagedBy $RoleGroup.ManagedBy
In questo esempio viene aggiunto l'utente David Strome come delegato al gruppo di ruolo Gestione organizzazione.
$RoleGroup = Get-RoleGroup "Organization Management"
$RoleGroup.ManagedBy += (Get-User "David Strome").Identity
Set-RoleGroup "Organization Management" -ManagedBy $RoleGroup.ManagedBy
Per informazioni dettagliate sulla sintassi e sui parametri, vedere Set-RoleGroup.
Utilizzo di Exchange Management Shell per rimuovere un delegato da un gruppo di ruolo
Per modificare l'elenco dei delegati in un gruppo di ruoli, usare il parametro ManagedBy nel cmdlet Set-RoleGroup . Il parametro ManagedBy sovrascrive l'intero elenco di delegati nel gruppo di ruoli. Se si desidera rimuovere delegati dal gruppo di ruolo piuttosto che sostituire l'intero elenco dei delegati, utilizzare i seguenti passi:
Archiviare il gruppo di ruoli in una variabile utilizzando il comando seguente.
$RoleGroup = Get-RoleGroup <role group name>Rimuovere il delegato dal gruppo di ruolo memorizzato nella variabile utilizzando il seguente comando.
$RoleGroup.ManagedBy -= (Get-User <user to remove>).IdentityNota
Utilizzare il cmdlet di Get-Group se si desidera rimuovere un gruppo di protezione universale.
Ripetere il passo 2 per ogni delegato che si desidera rimuovere.
Applicare il nuovo elenco di delegati al gruppo di ruoli attuale utilizzando il comando seguente.
Set-RoleGroup <role group name> -ManagedBy $RoleGroup.ManagedBy
In questo esempio viene rimosso l'utente David Strome come delegato al gruppo di ruolo Gestione organizzazione.
$RoleGroup = Get-RoleGroup "Organization Management"
$RoleGroup.ManagedBy -= (Get-User "David Strome").Identity
Set-RoleGroup "Organization Management" -ManagedBy $RoleGroup.ManagedBy
Per informazioni dettagliate sulla sintassi e sui parametri, vedere Set-RoleGroup.
Come verificare se l'operazione ha avuto esito positivo
Per verificare la corretta modifica dell'elenco dei delegati in un gruppo di ruoli, procedere come segue:
In Exchange Management Shell, eseguire il comando seguente.
Get-RoleGroup <role group name> | Format-List ManagedByVerificare che i delegati elencati nella proprietà ManagedBy includano solo i delegati che devono essere in grado di gestire il gruppo di ruoli.