Gerenciar grupos de funções no Exchange Server

Um grupo de funções de gerenciamento é um USG (grupo de segurança universal) usado no modelo de permissões RBAC (role based Controle de Acesso) no Exchange Server. Um grupo de gerenciamento de funções simplifica a atribuição de funções de gerenciamento para um grupo de usuários. Todos os membros de um grupo de função recebem o mesmo conjunto de funções. Para obter mais informações sobre grupos de funções no Exchange Server, consulte Entendendo grupos de funções de gerenciamento.

Para tarefas de gerenciamento adicionais relacionadas a grupos de funções, consulte Permissões.

Do que você precisa saber para começar?

Dica

Está com problemas? Peça ajuda nos fóruns do Exchange. Visite os fóruns em: Exchange Server, Exchange Online ou Proteção do Exchange Online.

Criar um grupo de funções

Se você quiser personalizar as permissões que você pode atribuir a um grupo de usuários, crie um novo grupo de funções de gerenciamento personalizado.

Usar o EAC para criar um grupo de funções

  1. No Centro de administração do Exchange (EAC), navegue até Permissões>Administração Funções e clique em Adicionarícone Adicionar..

  2. Na janela Novo grupo de funções , forneça um nome para o novo grupo de funções.

  3. Você pode selecionar as funções que deseja atribuir ao grupo de funções e aos membros que deseja ser adicionado ao grupo de funções agora ou pode fazer isso em outro momento.

  4. Selecione o escopo de gravação que deseja aplicar ao novo grupo de funções.

  5. Clique em Salvar para criar o grupo de funções.

Usar o Shell de Gerenciamento do Exchange para criar um grupo de funções

Para criar um grupo de funções, consulte a seção Exemplos no New-RoleGroup.

Como saber se funcionou?

Para verificar se você criou com êxito um grupo de funções, faça o seguinte:

  1. No EAC, navegue até Permissões>Administração Funções.

  2. Verifique se o novo grupo de funções aparece na lista de grupos de funções e selecione-o.

  3. Verifique se membros, funções atribuídas e escopo especificados no novo grupo de funções estão listados no painel de detalhes do grupo de funções.

Copiar um grupo de funções

Usar o EAC para copiar um grupo de funções

Se você tiver um grupo de funções que contenha as permissões que deseja conceder aos usuários, mas quiser aplicar um escopo de gerenciamento diferente ou remover ou adicionar uma ou duas funções de gerenciamento sem precisar adicionar todas as outras funções manualmente, você poderá copiar o grupo de funções existente.

Importante

Você não pode usar o EAC para copiar um grupo de funções se tiver usado o Shell de Gerenciamento do Exchange para configurar vários escopos de função de gerenciamento ou escopos exclusivos no grupo de funções. Se você tiver configurado vários escopos ou escopos exclusivos no grupo de funções, deverá usar os procedimentos do Shell de Gerenciamento do Exchange posteriormente neste tópico para copiar o grupo de funções. Para obter mais informações sobre escopos de função de gerenciamento, consulte Noções básicas sobre escopos de função de gerenciamento.

  1. No EAC, navegue até Permissões>Administração Funções.

  2. Selecione o grupo de funções que você deseja copiar e clique em Copiar ícone..

  3. Na janela Novo grupo de funções , forneça um nome para o novo grupo de funções.

  4. Examine as funções que foram copiadas para o novo grupo de funções. Adicione ou remova funções conforme necessário.

  5. Examine o escopo de gravação e altere-o conforme necessário.

  6. Examine os membros que foram copiados para o novo grupo de funções. Adicionar ou remover membros conforme necessário.

  7. Clique em Salvar para criar o grupo de funções.

Usar o Shell de Gerenciamento do Exchange para copiar um grupo de funções sem escopo

  1. Armazene o grupo de funções que você deseja copiar em uma variável usando a sintaxe a seguir.

    $RoleGroup = Get-RoleGroup <name of role group to copy>
    
  2. Crie o novo grupo de funções e adicione membros ao grupo de funções e especifique quem pode delegar o novo grupo de funções para outros usuários, usando a sintaxe a seguir.

    New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -Members <member1, member2, member3...> -ManagedBy <user1, user2, user3...>
    

    Por exemplo, os comandos a seguir copiam o grupo de funções Gerenciamento da organização e nomeiam o novo grupo de funções como "Gerenciamento da organização limitado". Também adicionam os membros Isabelle, Carter e Lukas e podem ser delegados por Jenny e Katie.

    $RoleGroup = Get-RoleGroup "Organization Management"
    New-RoleGroup "Limited Organization Management" -Roles $RoleGroup.Roles -Members Isabelle, Carter, Lukas -ManagedBy Jenny, Katie
    

Após o novo grupo de funções ser criado, é possível adicionar ou remover funções, alterar o escopo de atribuições de função na função e muito mais.

Para a sintaxe detalhada e informações sobre o parâmetro, consulte Get-RoleGroup e New-RoleGroup.

Usar o Shell de Gerenciamento do Exchange para copiar um grupo de funções com um escopo personalizado

  1. Armazene o grupo de funções que você deseja copiar em uma variável usando a sintaxe a seguir.

    $RoleGroup = Get-RoleGroup <name of role group to copy>
    
  2. Crie o novo grupo de funções com um escopo personalizado usando a sintaxe a seguir.

    New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name>
    

Por exemplo, os comandos a seguir copiam o grupo de funções Gerenciamento da organização e criam um novo grupo de funções chamado Gerenciamento da organização de Vancouver com o escopo de destinatário dos Usuários de Vancouver e o escopo de configuração dos Servidores de Vancouver.

$RoleGroup = Get-RoleGroup "Organization Management"
New-RoleGroup "Vancouver Organization Management" -Roles $RoleGroup.Roles -CustomRecipientWriteScope "Vancouver Users" -CustomConfigWriteScope "Vancouver Servers"

Você também pode adicionar membros ao grupo de funções ao criá-lo usando o parâmetro Membros , conforme mostrado em Usar o Shell de Gerenciamento do Exchange para criar uma atribuição de função sem escopo anterior neste tópico. Para obter mais informações sobre escopos de gerenciamento, consulte Understanding Management Scopes.

Após o novo grupo de funções ser criado, é possível adicionar ou remover funções, alterar o escopo de atribuições de função na função e executar outras tarefas.

Para a sintaxe detalhada e informações sobre o parâmetro, consulte Get-RoleGroup e New-RoleGroup.

Usar o Shell de Gerenciamento do Exchange para copiar um grupo de funções com um escopo de OU

  1. Armazene o grupo de funções que você deseja copiar em uma variável usando a sintaxe a seguir.

    $RoleGroup = Get-RoleGroup <name of role group to copy>
    
  2. Crie o novo grupo de funções com um escopo personalizado usando a sintaxe a seguir.

    New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -RecipientOrganizationalUnitScope <OU name>
    

Por exemplo, os seguintes comandos copiam o grupo de funções Gerenciamento de destinatários e criam um novo grupo de funções chamado Gerenciamento de destinatários de Toronto que permite o gerenciamento de usuários somente na UO de Usuários de Toronto.

$RoleGroup = Get-RoleGroup "Recipient Management"
New-RoleGroup "Toronto Recipient Management" -Roles $RoleGroup.Roles -RecipientOrganizationalUnitScope "contoso.com/Toronto Users"

Você também pode adicionar membros ao grupo de funções ao criá-lo usando o parâmetro Membros , conforme mostrado em Usar o Shell de Gerenciamento do Exchange para criar uma atribuição de função sem escopo anterior neste tópico. Para obter mais informações sobre escopos de gerenciamento, consulte Understanding Management Scopes.

Após o novo grupo de funções ser criado, é possível adicionar ou remover funções, alterar o escopo de atribuições de função na função e muito mais.

Para a sintaxe detalhada e informações sobre o parâmetro, consulte Get-RoleGroup e New-RoleGroup.

Como saber se funcionou?

Para verificar se você copiou com êxito um grupo de funções, faça o seguinte:

  1. No EAC, navegue até Permissões>Administração Funções.

  2. Verifique se o grupo de função copiado aparece na lista de grupos de funções e selecione-o.

  3. Verifique se membros, funções atribuídas e escopo especificados no grupo de funções copiadas estão listados no painel de detalhes do grupo de funções.

Remover um grupo de funções

Se um grupo de função que você criou não for mais necessário, você pode excluí-lo. Quando você remove um grupo de função, as atribuições de função de gerenciamento entre o grupo de função e as funções de gerenciamento são removidas. As funções de gerenciamento não são excluídas. Se um usuário depender do grupo de função para ter acesso a um recurso, esse usuário não poderá mais acessar o recurso. Não é possível remover grupos de funções internos.

Usar o EAC para remover um grupo de funções

  1. No EAC, navegue até Permissões>Administração Funções.

  2. Selecione o grupo de funções que você deseja remover e clique em Excluirícone Excluir..

  3. Verifique se você deseja remover o grupo de funções selecionado e, se for o caso, responda Sim ao aviso.

Use o Shell de Gerenciamento do Exchange para remover um grupo de funções

Para remover um grupo de funções, consulte a seção Exemplos no Remove-RoleGroup.

Exibir grupos de funções

Você pode exibir uma lista de grupos de funções ou as informações detalhadas sobre um grupo de funções específico que existe em sua organização.

Usar o EAC para exibir uma lista de grupos de funções e detalhes do grupo de funções

  1. No EAC, navegue até Permissões>Administração Funções. Todos os grupos de funções em sua organização são listadas aqui.

  2. Selecione um grupo de funções para exibir os membros, as funções atribuídas e o escopo configurados no grupo de funções.

Use o Shell de Gerenciamento do Exchange para exibir uma lista de grupos de funções e detalhes do grupo de funções

Para exibir uma lista de grupos de funções, consulte a seção Exemplos no Get-RoleGroup.

Adicionar uma função a um grupo de funções

Adicionar uma função de gerenciamento a um grupo de funções é a melhor e mais simples maneira de conceder permissões a um grupo de administradores ou usuários especializados. Se você quiser fornecer aos usuários que são membros de um grupo de funções a capacidade de gerenciar um recurso, adicione a função de gerenciamento que gerencia o recurso ao grupo de funções. Depois que a função é adicionada, os membros do grupo de funções recebem as permissões fornecidas pela função.

Usar o EAC para adicionar uma função de gerenciamento a um grupo de funções

Importante

Você não pode usar o EAC para adicionar funções a um grupo de funções se tiver usado o Shell de Gerenciamento do Exchange para configurar vários escopos de função de gerenciamento ou escopos exclusivos no grupo de funções. Se você tiver configurado vários escopos ou escopos exclusivos no grupo de funções, deverá usar os procedimentos do Shell de Gerenciamento do Exchange posteriormente neste tópico para adicionar funções ao grupo de funções. Para obter mais informações sobre escopos de função de gerenciamento, consulte Noções básicas sobre escopos de função de gerenciamento.

  1. No EAC, navegue até Permissões>Administração Funções.

  2. Selecione o grupo de funções ao qual você deseja adicionar uma função e clique em Editarícone..

  3. Na seção Funções , selecione as funções que você deseja adicionar ao grupo de funções.

  4. Quando terminar de adicionar funções ao grupo de funções, clique em Salvar.

Usar o Shell de Gerenciamento do Exchange para criar uma atribuição de função sem escopo

Você pode criar uma atribuição de função sem escopo entre uma função e um grupo de função. Quando você faz isso, os escopos implícitos de leitura e gravação implícitos da função se aplicam.

Use a sintaxe a seguir para atribuir uma função sem qualquer escopo a um grupo de funções. Um nome de atribuição de função será criado automaticamente se você não especificar um.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name>

Este exemplo atribui a função de gerenciamento de Regras de Transporte ao grupo de funções de conformidade de Seattle.

New-ManagementRoleAssignment -SecurityGroup "Seattle Compliance" -Role "Transport Rules"

Para informações detalhadas de sintaxes e de parâmetros, consulte New-ManagementRoleAssignment.

Use o Shell de Gerenciamento do Exchange para criar uma atribuição de função com um escopo predefinido

Se um escopo predefinido atender aos seus requisitos de negócios, você poderá aplicar esse escopo à atribuição de função em vez de criar um novo. Para obter uma lista de escopos predefinidos e suas descrições, consulte Noções básicas sobre escopos de função de gerenciamento.

Para mais informações sobre atribuições de função, consulte Understanding Management Role Assignments.

Use a sintaxe a seguir para atribuir uma função a um grupo de funções com um escopo predefinido. Um nome de atribuição de função será criado automaticamente se você não especificar um.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -RecipientRelativeWriteScope < MyGAL | MyDistributionGroups | Organization | Self >

Este exemplo atribui a função Acompanhamento de Mensagens ao grupo de funções de Suporte Empresarial e aplica o escopo predefinido da Organização.

New-ManagementRoleAssignment -SecurityGroup "Enterprise Support" -Role "Message Tracking" -RecipientRelativeWriteScope Organization

Para informações detalhadas de sintaxes e de parâmetros, consulte New-ManagementRoleAssignment.

Use o Shell de Gerenciamento do Exchange para criar uma atribuição de função com um escopo baseado em filtro do destinatário

Se você criou um escopo baseado em filtro do destinatário, precisará incluir o escopo no comando usado para atribuir a função a um grupo de funções usando o parâmetro CustomRecipientWriteScope .

Você também pode incluir um escopo de gravação de configuração ao criar uma atribuição de função que tenha um escopo de gravação do destinatário.

Esta função destacada para o usuário tem escopos implícitos que não podem ser modificados. Portanto, você deve adicionar escopos personalizados a atribuições de função que atribuem esta função às diretivas de atribuição de função, grupos de função, USGs, ou usuários.

Use a sintaxe a seguir para atribuir uma função a um grupo de funções com um escopo baseado em filtro do destinatário. Um nome de atribuição de função será criado automaticamente se você não especificar um.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -CustomRecipientWriteScope <role scope name>

Este exemplo atribui a função Acompanhamento de Mensagens ao grupo de funções administradores de destinatários de Seattle e aplica o escopo de Destinatários de Seattle.

New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Message Tracking" -CustomRecipientWriteScope "Seattle Recipients"

Para informações detalhadas de sintaxes e de parâmetros, consulte New-ManagementRoleAssignment.

Usar o Shell de Gerenciamento do Exchange para criar uma atribuição de função com um escopo de configuração

Se você criou um filtro de configuração de servidor ou banco de dados ou escopo baseado em lista, precisará incluir o escopo no comando usado para atribuir a função a um grupo de funções usando o parâmetro CustomConfigWriteScope .

Você também pode incluir um escopo de gravação do destinatário ao criar uma atribuição de função que tenha um escopo de gravação de configuração.

Escopo de gravação da configuração: determina quais membros dos objetos de destinatários e organizacionais do grupo de funções tem permissão para fazer modificações no exADNoMk.

Use a sintaxe a seguir para atribuir uma função a um grupo de funções com um escopo de configuração. Um nome de atribuição de função será criado automaticamente se você não especificar um.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -CustomConfigWriteScope <role scope name>

Este exemplo atribui a função Bancos de Dados ao grupo de funções de administradores do Seattle Server e aplica o escopo do Seattle Servers.

New-ManagementRoleAssignment -SecurityGroup "Seattle Server Admins" -Role "Databases" -CustomConfigWriteScope "Seattle Servers"

Para informações detalhadas de sintaxes e de parâmetros, consulte New-ManagementRoleAssignment.

Usar o Shell de Gerenciamento do Exchange para criar uma atribuição de função com um escopo de OU

Se você quiser escopo do escopo de gravação de uma função para uma OU, poderá especificar a OU no parâmetro RecipientOrganizationalUnitScope diretamente.

Escopo de gravação da configuração: determina quais membros dos objetos de destinatários e organizacionais do grupo de funções tem permissão para fazer modificações no exADNoMk.

Use o comando a seguir para atribuir uma função a um grupo de funções e restringir o escopo de gravação de uma função a uma OU específica. Um nome de atribuição de função será criado automaticamente se você não especificar um.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -RecipientOrganizationalUnitScope <OU>

Este exemplo atribui a função Destinatários de Email ao grupo de funções administradores de destinatários de Seattle e atribui a atribuição à OU Sales\Users no domínio Contoso.com.

New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users

Para informações detalhadas de sintaxes e de parâmetros, consulte New-ManagementRoleAssignment.

Como saber se funcionou?

Para verificar se você adicionou funções com êxito a um grupo de funções, faça o seguinte:

  1. No EAC, navegue até Permissões>Administração Funções.

  2. Selecione o grupo de funções ao qual você adicionou funções. No painel de detalhes do grupo de funções, verifique se as funções adicionadas estão listadas.

Remover uma função de um grupo de funções

Remover uma função de um grupo de funções de gerenciamento é a melhor e mais simples maneira de revogar as permissões concedidas a um grupo de administradores ou usuários especializados. Se você não quiser que administradores ou usuários especializados tenham permissões para gerenciar um recurso, remova a função de gerenciamento do grupo de funções de gerenciamento que gerencia as permissões. Depois que a função for removida, os membros do grupo de funções não terão mais permissões para gerenciar o recurso.

Observação

Alguns grupos de funções, como o grupo de funções Gerenciamento de Organização, restringem quais funções podem ser removidas de um grupo de funções. Para obter mais informações, consulte Noções básicas sobre grupos de funções de gerenciamento. > Se um administrador for membro de outro grupo de funções que contém funções de gerenciamento que concede permissões para gerenciar o recurso, você precisará remover o administrador dos outros grupos de funções ou remover a função que concede permissões para gerenciar o recurso dos outros grupos de funções.

Usar o EAC para remover uma função de gerenciamento de um grupo de funções

Importante

Você não pode usar o EAC para remover funções de um grupo de funções se tiver usado o Shell de Gerenciamento do Exchange para configurar vários escopos ou escopos exclusivos no grupo de funções. Se você tiver configurado vários escopos ou escopos exclusivos no grupo de funções, deverá usar os procedimentos do Shell de Gerenciamento do Exchange posteriormente neste tópico para remover funções do grupo de funções. Para obter mais informações sobre escopos de função de gerenciamento, consulte Noções básicas sobre escopos de função de gerenciamento.

  1. No EAC, navegue até Permissões>Administração Funções.

  2. Selecione o grupo de funções do qual você deseja remover uma função e clique em Editarícone..

  3. Na seção Funções , selecione as funções que você deseja remover do grupo de funções.

  4. Quando terminar de remover funções do grupo de funções, clique em Salvar.

Use o Shell de Gerenciamento do Exchange para remover uma função de um grupo de funções

Você pode remover funções de grupos de funções recuperando a atribuição de função de gerenciamento associada usando o cmdlet Get-ManagementRoleAssignment e, em seguida, canalizando a atribuição de função retornada para o cmdlet Remove-ManagementRoleAssignment . A menos que você queira remover atribuições de função delegada e regular ao mesmo tempo, especifique o parâmetro Delegando para especificar se deseja remover atribuições de função regulares ou delegadas.

Para obter mais informações sobre atribuições de função regulares e de delegação, consulte Noções básicas sobre atribuições de função de gerenciamento.

Esse procedimento usa canalização. Para obter mais informações sobre pipelining, consulte about_Pipelines.

Para remover uma função de um grupo de funções, use a sintaxe a seguir.

Get-ManagementRoleAssignment -RoleAssignee <role group name> -Role <role name> -Delegating <$true | $false> | Remove-ManagementRoleAssignment

Este exemplo remove a função Grupos de Distribuição, que permite que os administradores gerenciem grupos de distribuição, do grupo de funções Administradores de Destinatários de Seattle. Como queremos remover a atribuição de função que fornece permissões para gerenciar grupos de distribuição, o parâmetro Delegando é definido como $False, que retorna apenas atribuições de função regulares.

Get-ManagementRoleAssignment -RoleAssignee "Seattle Recipient Administrators" -Role "Distribution Groups" -Delegating $false | Remove-ManagementRoleAssignment

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Remove-ManagementRoleAssignment.

Como saber se funcionou?

Para verificar se você removeu funções com êxito de um grupo de funções, faça o seguinte:

  1. No EAC, navegue até Permissões>Administração Funções.

  2. Selecione o grupo de funções do qual você removeu as funções. No painel de detalhes do grupo de funções, verifique se as funções removidas não estão mais listadas.

Alterar o escopo de um grupo de funções

As atribuições de função de gerenciamento entre um grupo de funções e uma função contêm escopos de gerenciamento, que determinam quais objetos são disponibilizados aos membros desse grupo de funções. Ao alterar o escopo de gravação em um grupo de funções, é possível alterar quais objetos são disponibilizados aos membros do grupo de funções para criação, alteração ou remoção. Não é possível alterar o escopo de leitura em um grupo de funções.

Exchange Server inclui escopos que são aplicados por padrão a atribuições de função quando nenhum escopo personalizado é criado. Se você deseja usar um escopo personalizado com uma atribuição de função em um grupo de funções, primeiramente, é necessário criá-lo. Para mais informações sobre como criar escopos personalizados, que são tarefas avançadas, consulte Create a Regular or Exclusive Scope.

Para obter mais informações sobre escopos e atribuições de função de gerenciamento no Exchange Server, confira os seguintes tópicos:

Usar o EAC para alterar o escopo em um grupo de funções

Quando você usa o EAC para alterar o escopo em um grupo de funções, você está realmente alterando o escopo em todas as atribuições de função entre o grupo de função e cada uma das funções de gerenciamento atribuídas ao grupo de funções. Se você quiser alterar o escopo em atribuições de função específicas, deverá usar os procedimentos do Shell de Gerenciamento do Exchange mais adiante neste tópico.

Importante

Você não pode usar o EAC para gerenciar escopos em atribuições de função entre funções e um grupo de funções se você usou o Shell de Gerenciamento do Exchange para configurar vários escopos ou escopos exclusivos nessas atribuições de função. Se você tiver configurado vários escopos ou escopos exclusivos nessas atribuições de função, deverá usar os procedimentos do Shell de Gerenciamento do Exchange posteriormente neste tópico para gerenciar escopos. Para obter mais informações sobre escopos de função de gerenciamento, consulte Noções básicas sobre escopos de função de gerenciamento.

  1. No EAC, navegue até Permissões>Administração Funções.

  2. Selecione o grupo de funções em que você deseja alterar o escopo e clique em Editarícone..

  3. Selecione uma das seguintes opções de Escopo de Gravação:

    • Um escopo de gravação da caixa suspensa, em que você pode selecionar o escopo de gravação padrão ou um escopo de gravação personalizado.

    • Unidade organizacional: selecione essa opção e forneça uma OU (unidade organizacional) se você quiser escopo desse grupo de funções para uma UA.

  4. Clique em Salvar para salvar as alterações feitas no grupo de funções.

Use o Shell de Gerenciamento do Exchange para alterar o escopo de todas as atribuições de função em um grupo de funções ao mesmo tempo

As atribuições de função entre o grupo de funções e as funções atribuídas a ele podem usar o escopo implícito obtido das próprias funções, do mesmo escopo personalizado ou de diferentes escopos personalizados. Para mais informações sobre atribuições de função, consulte Understanding Management Role Assignments.

Os escopos nas atribuições de função são gerenciados usando-se o cmdlet Set-ManagementRoleAssignment. Não é possível gerenciar escopos usando o cmdlet de Set-RoleGroup.

Para alterar o escopo de todas as atribuições de função entre um grupo de funções e um conjunto de funções de gerenciamento ao mesmo tempo, é preciso primeiro recuperar as atribuições de função do grupo e definir o novo escopo em cada uma das atribuições. Isso pode ser feito utilizando-se o cmdlet Get-ManagementRoleAssignment para recuperar as atribuições e enviá-las ao cmdlet Set-ManagementRoleAssignment.

Esse procedimento usa os conceitos de pipelining e a opção WhatIf. Para mais informações, confira os seguintes tópicos:

Para definir o escopo em todas as atribuições de função de um grupo de funções ao mesmo tempo, use a sintaxe na sequência.

Get-ManagementRoleAssignment -RoleAssignee <name of role group> | Set-ManagementRoleAssignment -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name> -RecipientRelativeScopeWriteScope < MyDistributionGroups | Organization | Self> -ExclusiveRecipientWriteScope <exclusive recipient scope name> -ExclusiveConfigWriteScope <exclusive configuration scope name> -RecipientOrganizationalUnitScope <organizational unit>

Use apenas os parâmetros de que você precisa para configurar o escopo que deseja usar. Por exemplo, se quiser alterar o escopo do destinatário de todas as atribuições de função no grupo de funções Gerenciamento de Destinatários de Venda para Funcionários de Vendas Diretas, use o seguinte comando.

Get-ManagementRoleAssignment -RoleAssignee "Sales Recipient Management" | Set-ManagementRoleAssignment -CustomRecipientWriteScope "Direct Sales Employees"

Observação

Você pode usar a opção WhatIf para verificar se apenas as atribuições de função que deseja modificar foram alteradas. Execute o comando anterior com a opção WhatIf para verificar os resultados e remova a opção WhatIf para aplicar as alterações.

Para obter mais informações sobre como alterar as atribuições de função de gerenciamento, consulte Change a Role Assignment.

Para informações detalhadas de sintaxes e de parâmetros, consulte Get-ManagementRoleAssignment.

Use o Shell de Gerenciamento do Exchange para alterar o escopo de atribuições de função individuais em um grupo de funções

As atribuições de função entre o grupo de funções e as funções atribuídas a ele podem usar o escopo implícito obtido das próprias funções, do mesmo escopo personalizado ou de diferentes escopos personalizados. Para mais informações sobre atribuições de função, consulte Understanding Management Role Assignments.

Os escopos nas atribuições de função são gerenciados usando-se o cmdlet Set-ManagementRoleAssignment. Não é possível gerenciar escopos usando o cmdlet de Set-RoleGroup.

Esse procedimento usa os conceitos de pipelining e o cmdlet Format-List. Para mais informações, confira os seguintes tópicos:

Para alterar o escopo de uma atribuição de função entre um grupo de funções e uma função de gerenciamento, localize primeiro o nome da atribuição de função e defina o escopo na atribuição de função.

  1. Para encontrar os nomes de todas as funções de atribuição em um grupo de funções, use o comando a seguir. Ao encaminhar as atribuições de função de gerenciamento ao cmdlet Format-List, você poderá exibir o nome completo da atribuição.

    Get-ManagementRoleAssignment -RoleAssignee <role group name> | Format-List Name
    
  2. Localize o nome de atribuição de função que deseja alterar. Use o nome da atribuição de função na próxima etapa.

  3. Para definir o escopo em uma atribuição individual, use a sintaxe a seguir.

    Set-ManagementRoleAssignment <role assignment name> -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name> -RecipientRelativeScopeWriteScope < MyDistributionGroups | Organization | Self> -ExclusiveRecipientWriteScope <exclusive recipient scope name> -ExclusiveConfigWriteScope <exclusive configuration scope name> -RecipientOrganizationalUnitScope <organizational unit>
    

Use apenas os parâmetros de que você precisa para configurar o escopo que deseja usar. Por exemplo, se quiser alterar o escopo do destinatário da atribuição de função Mail Recipients_Sales Recipient Management para Todos os Funcionários de Vendas, use o seguinte comando.

Set-ManagementRoleAssignment "Mail Recipients_Sales Recipient Management" -CustomRecipientWriteScope "All Sales Employees"

Para obter mais informações sobre como alterar as atribuições de função de gerenciamento, consulte Change a Role Assignment.

Para informações detalhadas de sintaxes e de parâmetros, consulte Set-ManagementRoleAssignment.

Como saber se funcionou?

Para verificar se você alterou com êxito o escopo de uma atribuição de função em um grupo de função, faça o seguinte:

  • Se você usou o EAC para configurar o escopo no grupo de funções, faça o seguinte:

    1. No EAC, navegue até Permissões>Administração Funções. Todos os grupos de funções em sua organização estão listados aqui.

    2. Selecione um grupo de funções para exibir o escopo configurado no grupo de funções.

  • Se você usou o Shell de Gerenciamento do Exchange para configurar o escopo no grupo de funções, faça o seguinte:

    1. Execute o seguinte comando no Shell de Gerenciamento do Exchange.

      Get-ManagementRoleAssignment -RoleAssignee <role group name> | Format-Table *WriteScope
      
    2. Verifique se o escopo de gravação nas atribuições de função foi alterado para o escopo especificado.

Adicionar ou remover um delegado do grupo de funções

Os delegados do grupo de funções são usuários ou grupos de segurança universal (USGs) que podem adicionar ou remover membros de um grupo de funções ou alterar as propriedades de um grupo de funções. Ao adicionar ou remover delegados do grupo de funções, você pode controlar quem tem permissão para gerenciar um grupo de funções.

Importante

Depois de adicionar um delegado a um grupo de funções, o grupo de funções só pode ser gerenciado pelos delegados no grupo de funções ou pelos usuários atribuídos, direta ou indiretamente, à função de gerenciamento de gerenciamento de funções. > Se um usuário for atribuído, direta ou indiretamente, a função Gerenciamento de Função e não for adicionado como um delegado do grupo de funções, o usuário deverá usar a opção BypassSecurityGroupManagerCheck nos cmdlets Add-RoleGroupMember, Remove-RoleGroupMember, Update-RoleGroupMember e Set-RoleGroup para gerenciar um grupo de funções.

Observação

Você não pode usar o EAC para adicionar um delegado a um grupo de funções.

Use o Shell de Gerenciamento do Exchange para adicionar um delegado a um grupo de funções

Para alterar a lista de delegados em um grupo de funções, use o parâmetro ManagedBy no cmdlet Set-RoleGroup . O parâmetro ManagedBy substitui toda a lista de delegados no grupo de funções. Se você quiser adicionar delegados ao grupo de funções em vez de substituir toda a lista de delegados, use as seguintes etapas:

  1. Armazene o grupo de funções em uma variável usando o comando a seguir.

    $RoleGroup = Get-RoleGroup <role group name>
    
  2. Adicione o delegado ao grupo de funções armazenado na variável usando o comando a seguir.

    $RoleGroup.ManagedBy += (Get-User <user to add>).Identity
    

    Observação

    Use o cmdlet Get-Group se quiser adicionar um USG.

  3. Repita a Etapa 2 para cada delegado que você deseja adicionar.

  4. Aplique a nova lista de delegados ao grupo de funções real usando o comando a seguir.

    Set-RoleGroup <role group name> -ManagedBy $RoleGroup.ManagedBy
    

Este exemplo adiciona o usuário David Strome como delegado no grupo de funções gerenciamento de organização.

$RoleGroup = Get-RoleGroup "Organization Management"
$RoleGroup.ManagedBy += (Get-User "David Strome").Identity
Set-RoleGroup "Organization Management" -ManagedBy $RoleGroup.ManagedBy

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Set-RoleGroup.

Use o Shell de Gerenciamento do Exchange para remover um delegado de um grupo de funções

Para alterar a lista de delegados em um grupo de funções, use o parâmetro ManagedBy no cmdlet Set-RoleGroup . O parâmetro ManagedBy substitui toda a lista de delegados no grupo de funções. Se você quiser remover delegados do grupo de funções em vez de substituir toda a lista de delegados, use as seguintes etapas:

  1. Armazene o grupo de funções em uma variável usando o comando a seguir.

    $RoleGroup = Get-RoleGroup <role group name>
    
  2. Remova o delegado do grupo de funções armazenado na variável usando o comando a seguir.

    $RoleGroup.ManagedBy -= (Get-User <user to remove>).Identity
    

    Observação

    Use o cmdlet Get-Group se quiser remover um USG.

  3. Repita a Etapa 2 para cada delegado que você deseja remover.

  4. Aplique a nova lista de delegados ao grupo de funções real usando o comando a seguir.

    Set-RoleGroup <role group name> -ManagedBy $RoleGroup.ManagedBy
    

Este exemplo remove o usuário David Strome como delegado no grupo de funções gerenciamento de organização.

$RoleGroup = Get-RoleGroup "Organization Management"
$RoleGroup.ManagedBy -= (Get-User "David Strome").Identity
Set-RoleGroup "Organization Management" -ManagedBy $RoleGroup.ManagedBy

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Set-RoleGroup.

Como saber se funcionou?

Para verificar se você alterou com êxito a lista de delegados em um grupo de funções, faça o seguinte:

  1. No Shell de Gerenciamento do Exchange, execute o seguinte comando.

    Get-RoleGroup <role group name> | Format-List ManagedBy
    
  2. Verifique se os delegados listados na propriedade ManagedBy incluem apenas os delegados que devem ser capazes de gerenciar o grupo de funções.