Управление группами ролей в Exchange Server

Группа ролей управления — это универсальная группа безопасности (USG), используемая в модели разрешений на основе ролей контроль доступа (RBAC) в Exchange Server. Группа ролей управления упрощает назначение ролей управления группе пользователей. Для всех участников группы ролей назначается идентичный набор ролей. Дополнительные сведения о группах ролей в Exchange Server см. в разделе Общие сведения о группах ролей управления.

Дополнительные сведения о задачах управления, связанных с группами ролей, см. в разделе Разрешения.

Что нужно знать перед началом работы

• Предполагаемое время для завершения каждой процедуры: от 5 до 10 минут

• Сведения об открытии Центра администрирования Exchange см. в разделе Центр администрирования Exchange в Exchange Server. Чтобы открыть командную консоль Exchange, см. статью Запуск командной консоли Exchange.

• Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "Группы ролей" в разделе Разрешения для управления ролями .

• Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.

Совет

Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по адресу: Exchange Server, Exchange Online или Exchange Online Protection.

Создание группы ролей

Если нужно настроить разрешения, которые можно назначить группе пользователей, создайте новую настраиваемую группу ролей управления.

Использование Центра администрирования Exchange для создания группы ролей

1. В Центре администрирования Exchange перейдите к разделу Разрешения>Администратор Роли, а затем щелкните Добавить

2. В окне Новая группа ролей укажите имя новой группы.

3. Вы можете сразу выбрать роли, которые требуется назначить группе ролей, и членов, которых требуется добавить к группе ролей, или сделать это позднее.

4. Выберите область записи, которую требуется применить к новой группе ролей.

5. Нажмите кнопку Сохранить, чтобы создать группу.

Создание группы ролей с помощью командной консоли Exchange

Сведения о создании группы ролей см. в разделе Examples статьи New-RoleGroup.

Как проверить, все ли получилось?

Чтобы убедиться в успешном создании группы ролей, выполните следующие действия.

1. В EAC перейдите в раздел Разрешения>Администратор Роли.

2. Убедитесь, что новая группа ролей отображается в списке групп ролей, и выберите ее.

3. Убедитесь, что члены, назначенные роли и область, которые вы указали для новой группы ролей, перечислены в области сведений группы ролей.

Копирование группы ролей

Использование Центра администрирования Exchange для копирования группы ролей

Если при предоставлении разрешений группы ролей другим пользователям необходимо применить другую область управления, удалить либо добавить одну или несколько ролей управления без необходимости добавлять все роли вручную, можно скопировать существующую группу ролей.

Важно!

Вы не можете использовать EAC для копирования группы ролей, если вы использовали командную консоль Exchange для настройки нескольких областей ролей управления или монопольных областей в группе ролей. Если вы настроили несколько областей или монопольных областей в группе ролей, необходимо скопировать группу ролей с помощью процедур командной консоли Exchange далее в этом разделе. Дополнительные сведения об областях ролей управления см. в разделе Understanding Management Role Scopes.

1. В EAC перейдите в раздел Разрешения>Администратор Роли.

2. Выберите группу ролей, которую нужно скопировать, и нажмите кнопку

3. В окне Новая группа ролей укажите имя новой группы.

4. Просмотрите роли, которые были скопированы в новую группу ролей. Добавьте или удалите роли при необходимости.

5. Просмотрите область записи и при необходимости измените ее.

6. Просмотрите членов, которые были скопированы в новую группу ролей. Добавьте или удалите членов при необходимости.

7. Нажмите кнопку Сохранить, чтобы создать группу.

Копирование группы ролей без области применения с помощью командной консоли Exchange

1. Сохраните группу ролей, которую необходимо копировать, в переменной с помощью следующей синтаксической конструкции:

   $RoleGroup = Get-RoleGroup <name of role group to copy>
   

2. Создайте новую группу ролей, добавьте в нее членов и укажите пользователей, которые могут делегировать новую группу ролей другим пользователям, с помощью следующего синтаксиса.

   New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -Members <member1, member2, member3...> -ManagedBy <user1, user2, user3...>
   

   Например, следующие команды копируют группу ролей «Organization Management» и присваивают новой группе ролей имя «Limited Organization Management». В группу добавляются члены Isabelle, Carter и Lukas и назначаются пользователи, которые могут делегировать группу ролей: Jenny и Katie.

   $RoleGroup = Get-RoleGroup "Organization Management"
   New-RoleGroup "Limited Organization Management" -Roles $RoleGroup.Roles -Members Isabelle, Carter, Lukas -ManagedBy Jenny, Katie
   

После создания группы ролей в нее можно добавлять роли или удалять роли из нее, изменять область назначений ролей и т. д.

Дополнительные сведения о синтаксисе и параметрах см. в разделах Get-RoleGroup и New-RoleGroup.

Копирование группы ролей с пользовательской областью применения с помощью командной консоли Exchange

1. Сохраните группу ролей, которую необходимо копировать, в переменной с помощью следующей синтаксической конструкции:

   $RoleGroup = Get-RoleGroup <name of role group to copy>
   

2. Создайте новую группу ролей с настраиваемой областью с помощью следующей синтаксической конструкции:

   New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name>
   

Например, следующие команды копируют группу ролей «Organization Management» и создают новую группу ролей с именем «Vancouver Organization Management» с областью получателей «Vancouver Users» и областью конфигурации «Vancouver Servers».

$RoleGroup = Get-RoleGroup "Organization Management"
New-RoleGroup "Vancouver Organization Management" -Roles $RoleGroup.Roles -CustomRecipientWriteScope "Vancouver Users" -CustomConfigWriteScope "Vancouver Servers"

Вы также можете добавить участников в группу ролей при ее создании с помощью параметра Members, как показано в разделе Использование командной консоли Exchange для создания назначения ролей без область выше в этом разделе. Дополнительные сведения об областях управления см. в разделе Understanding Management Scopes.

После создания группы ролей в нее можно добавлять роли или удалять роли из нее, изменять область назначений ролей и выполнять другие задачи.

Дополнительные сведения о синтаксисе и параметрах см. в разделах Get-RoleGroup и New-RoleGroup.

Копирование группы ролей с областью подразделения с помощью командной консоли Exchange

1. Сохраните группу ролей, которую необходимо копировать, в переменной с помощью следующей синтаксической конструкции:

   $RoleGroup = Get-RoleGroup <name of role group to copy>
   

2. Создайте новую группу ролей с настраиваемой областью с помощью следующей синтаксической конструкции:

   New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -RecipientOrganizationalUnitScope <OU name>
   

Например, следующие команды копируют группу ролей «Recipient Management» и создают новую группу ролей с именем «Toronto Recipient Management», которая позволяет управлять только пользователями в подразделении «Toronto Users».

$RoleGroup = Get-RoleGroup "Recipient Management"
New-RoleGroup "Toronto Recipient Management" -Roles $RoleGroup.Roles -RecipientOrganizationalUnitScope "contoso.com/Toronto Users"

Вы также можете добавить участников в группу ролей при ее создании с помощью параметра Members, как показано в разделе Использование командной консоли Exchange для создания назначения ролей без область выше в этом разделе. Дополнительные сведения об областях управления см. в разделе Understanding Management Scopes.

После создания группы ролей в нее можно добавлять роли или удалять роли из нее, изменять область назначений ролей и т. д.

Дополнительные сведения о синтаксисе и параметрах см. в разделах Get-RoleGroup и New-RoleGroup.

Как проверить, все ли получилось?

Чтобы убедиться в успешном копировании группы ролей, выполните следующие действия.

1. В EAC перейдите в раздел Разрешения>Администратор Роли.

2. Убедитесь, что скопированная группа ролей отображается в списке групп ролей, и выберите ее.

3. Убедитесь, что члены, назначенные роли и область, которые вы указали для скопированной группы ролей, перечислены в области сведений группы ролей.

Удаление группы ролей

Если созданная группа ролей больше не нужна, ее можно удалить. При удалении группы ролей также удаляются и назначения управления ролями между группой ролей и ролями управления. Сами роли управления не удаляются. Если доступ пользователя к функции зависел от группы ролей, пользователь не будет иметь доступа к функции. Встроенные группы ролей удалить невозможно.

Использование Центра администрирования Exchange для удаления группы ролей

1. В EAC перейдите в раздел Разрешения>Администратор Роли.

2. Выберите группу ролей, которую нужно удалить, и нажмите кнопку Удалить

3. Убедитесь, что вы хотите удалить выбранную группу ролей, и, если это так, выберите Да в качестве ответа на предупреждение.

Удаление группы ролей с помощью командной консоли Exchange

Сведения об удалении группы ролей см. в разделе Examples статьи Remove-RoleGroup.

Просмотр групп ролей

Вы можете просмотреть список групп ролей или подробные сведения о конкретной группе ролей, существующей в организации.

Использование Центра администрирования Exchange для просмотра списка групп ролей и сведений о них

1. В EAC перейдите в раздел Разрешения>Администратор Роли. Здесь перечислены все группы ролей в организации.

2. Выберите группу ролей для просмотра членов, назначенных ролей и области, настроенных для группы ролей.

Просмотр списка групп ролей и сведений о них с помощью командной консоли Exchange

Сведения о просмотре списка групп ролей см. в разделе Examples статьи Get-RoleGroup.

Добавление роли в группу ролей

Добавление роли управления в группу ролей является самым лучшим и простым способом предоставления разрешений группе администраторов или пользователей-специалистов. Если следует предоставить пользователям, являющимся членами группы ролей, возможность управлять определенной возможностью, следует добавить в группу ролей роль управления, которая отвечает за управление этой возможностью. После добавления роли членам группы ролей предоставляются разрешения, обеспечиваемые данной ролью.

Использование Центра администрирования Exchange для добавления роли управления в группу ролей

Важно!

Вы не можете использовать EAC для добавления ролей в группу ролей, если вы использовали командную консоль Exchange для настройки нескольких областей ролей управления или монопольных областей в группе ролей. Если вы настроили несколько областей или монопольных областей в группе ролей, необходимо использовать процедуры командной консоли Exchange далее в этом разделе, чтобы добавить роли в группу ролей. Дополнительные сведения об областях ролей управления см. в разделе Understanding Management Role Scopes.

1. В EAC перейдите в раздел Разрешения>Администратор Роли.

2. Выберите группу ролей, в которую вы хотите добавить роль, и нажмите кнопку Изменить

3. В разделе Роли выберите роли, которые требуется добавить в группу ролей.

4. Когда добавление ролей в группу ролей завершено, нажмите кнопку Сохранить.

Создание назначения роли без области с помощью командной консоли Exchange

Можно создать назначение роли без области между ролью и группой ролей. При этом применяются неявные области чтения и записи роли.

Используйте следующий синтаксис для назначения группе ролей роли без области. Если имя назначения роли не задано, оно создается автоматически.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name>

В этом примере группе ролей Seattle Compliance назначается роль управления Transport Rules.

New-ManagementRoleAssignment -SecurityGroup "Seattle Compliance" -Role "Transport Rules"

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

Создание назначения роли с предварительно определенной областью с помощью командной консоли Exchange

Если предварительно определенная область соответствует потребностям организации, можно применить эту область к назначению роли, а не создавать новую. Список предварительно определенных областей и их описания см. в разделе Understanding Management Role Scopes.

Дополнительные сведения о назначениях ролей см. в разделе Understanding Management Role Assignments.

Используйте следующий синтаксис для назначения группе ролей роли с предварительно определенной областью. Если имя назначения роли не задано, оно создается автоматически.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -RecipientRelativeWriteScope < MyGAL | MyDistributionGroups | Organization | Self >

В этом примере роль Message Tracking назначается группе ролей Enterprise Support, затем применяется предварительно определенная область Organization.

New-ManagementRoleAssignment -SecurityGroup "Enterprise Support" -Role "Message Tracking" -RecipientRelativeWriteScope Organization

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

Создание назначения роли с областью, основанной на фильтре получателей, с помощью командной консоли Exchange

Если вы создали область на основе фильтра получателей, необходимо включить область в команду, используемую для назначения роли группе ролей с помощью параметра CustomRecipientWriteScope.

Также можно включить область записи конфигурации при создании назначения роли с областью, основанной на фильтре получателей.

Дополнительные сведения о назначениях ролей и областях см. в следующих разделах:

• Understanding Management Role Assignments

• Understanding Management Role Scopes

Используйте следующий синтаксис для назначения роли группе ролей с областью, основанной на фильтре получателей. Если имя назначения роли не задано, оно создается автоматически.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -CustomRecipientWriteScope <role scope name>

В этом примере роль Message Tracking назначается группе ролей Seattle Recipient Admins, затем применяется область Seattle Recipients.

New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Message Tracking" -CustomRecipientWriteScope "Seattle Recipients"

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

Создание назначения роли с областью конфигурации с помощью командной консоли Exchange

Если вы создали фильтр конфигурации сервера или базы данных или область на основе списка, необходимо включить область в команду, используемую для назначения роли группе ролей с помощью параметра CustomConfigWriteScope.

Также можно включить область записи получателей при создании назначения роли с областью, основанной на фильтре конфигураций.

Дополнительные сведения о назначениях ролей и областях управления см. в следующих разделах:

• Understanding Management Role Assignments

• Understanding Management Role Scopes

Используйте следующий синтаксис для назначения группе ролей роли с областью конфигурации. Если имя назначения роли не задано, оно создается автоматически.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -CustomConfigWriteScope <role scope name>

В этом примере роль Databases назначается группе ролей Seattle Server Admins, затем применяется область Seattle Servers.

New-ManagementRoleAssignment -SecurityGroup "Seattle Server Admins" -Role "Databases" -CustomConfigWriteScope "Seattle Servers"

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

Создание назначения роли с областью подразделения с помощью командной консоли Exchange

Если вы хотите область область записи роли в подразделение, можно указать подразделение в параметре RecipientOrganizationalUnitScope напрямую.

Область записи конфигурации. Определяет объекты сервера и организации, которые участники группы ролей могут изменять в exADNoMk.

• Understanding Management Role Assignments

• Understanding Management Role Scopes

Используйте приведенную ниже команду для назначения роли группе ролей и ограничения области записи роли определенным подразделением. Если имя назначения роли не задано, оно создается автоматически.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -RecipientOrganizationalUnitScope <OU>

В этом примере роль Mail Recipients назначается группе ролей Seattle Recipient Admins, затем область действия этого назначения сужается до подразделения Sales\Users в домене Contoso.com.

New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

Как проверить, все ли получилось?

Чтобы убедиться в успешном добавлении ролей в группу ролей, выполните следующие действия.

1. В EAC перейдите в раздел Разрешения>Администратор Роли.

2. Выберите группу ролей, в которую вы добавили роли. Убедитесь в наличии добавленных ролей на панели сведений группы ролей.

Удаление роли из группы ролей

Удаление роли из группы ролей управления является самым лучшим и простым способом отзыва разрешений, предоставленных группе администраторов или пользователей-специалистов. Если отсутствует необходимость в предоставлении администраторам или пользователям-специалистам разрешений на управление функцией, следует удалить роль управления из группы ролей управления, управляющей разрешениями. После удаления роли члены группы ролей больше не имеют допуска к управлению функцией.

Примечание.

Некоторые группы ролей, например группа ролей "Управление организацией", ограничивают, какие роли можно удалить из группы ролей. Дополнительные сведения см. в статье Understanding Management Role Groups. > Если администратор является членом другой группы ролей, содержащей роли управления, предоставляющие разрешения на управление функцией, необходимо либо удалить администратора из других групп ролей, либо роль, предоставляющую разрешения на управление функцией, из других групп ролей.

Использование Центра администрирования Exchange для удаления роли управления из группы ролей

Важно!

Вы не можете использовать EAC для удаления ролей из группы ролей, если вы использовали командную консоль Exchange для настройки нескольких областей или монопольных областей в группе ролей. Если вы настроили несколько областей или монопольных областей в группе ролей, необходимо использовать процедуры командной консоли Exchange далее в этом разделе, чтобы удалить роли из группы ролей. Дополнительные сведения об областях ролей управления см. в разделе Understanding Management Role Scopes.

1. В EAC перейдите в раздел Разрешения>Администратор Роли.

2. Выберите группу ролей, из которой нужно удалить роль, и нажмите кнопку Изменить

3. В разделе Роли выберите роли, которые требуется удалить из группы ролей.

4. Когда удаление ролей из группы ролей завершено, нажмите кнопку Сохранить.

Удаление роли из группы ролей с помощью командной консоли Exchange

Можно удалить роли из группы ролей при получении назначения связанной роли управления с использованием командлета Get-ManagementRoleAssignment и последующей передачи назначения роли обратно в командлет Remove-ManagementRoleAssignment. Если вы не хотите одновременно удалить делегированные и регулярные назначения ролей, укажите параметр Делегирование , чтобы указать, нужно ли удалять обычные или делегированные назначения ролей.

Дополнительные сведения о стандартных и делегированных назначениях ролей см. в разделе Understanding Management Role Assignments.

В этой процедуре используется конвейеризация. Дополнительные сведения о конвейерной подготовке см. в разделе about_Pipelines.

Для удаления роли из группы ролей используйте следующий синтаксис.

Get-ManagementRoleAssignment -RoleAssignee <role group name> -Role <role name> -Delegating <$true | $false> | Remove-ManagementRoleAssignment

В этом примере роль групп рассылки, позволяющая администраторам управлять группами рассылки, удаляется из группы ролей Seattle Recipient Administrators. Так как мы хотим удалить назначение ролей, предоставляющее разрешения на управление группами рассылки, параметр делегации имеет значение $False, который возвращает только обычные назначения ролей.

Get-ManagementRoleAssignment -RoleAssignee "Seattle Recipient Administrators" -Role "Distribution Groups" -Delegating $false | Remove-ManagementRoleAssignment

Дополнительные сведения о синтаксисе и параметрах см. в разделе Remove-ManagementRoleAssignment.

Как проверить, все ли получилось?

Чтобы убедиться в успешном удалении ролей из группы ролей, выполните следующие действия.

1. В EAC перейдите в раздел Разрешения>Администратор Роли.

2. Выберите группу ролей, из которой вы удалили роли. Убедитесь в отсутствии удаленных ролей на панели сведений группы ролей.

Изменение области группы ролей

Назначения ролей управления между группой ролей и ролью включают в себя области управления, определяющие объекты, которые будут доступны членам этой группы ролей. Можно изменять область записи в группе ролей и указывать, какие объекты разрешено создавать, изменять или удалять членам группы ролей. Невозможно изменить область чтения в группе ролей.

Exchange Server включает области, которые по умолчанию применяются к назначениям ролей, когда пользовательские области не создаются. Чтобы использовать настраиваемую область для назначения роли в группе ролей, необходимо сначала создать такую область. Дополнительные сведения о создании настраиваемых областей, являющемся сложной задачей, см. в разделе Create a Regular or Exclusive Scope.

Дополнительные сведения о областях и назначениях ролей управления в Exchange Server см. в следующих разделах:

• Understanding Management Role Scopes

• Understanding Management Role Assignments

Использование Центра администрирования Exchange для изменения области в группе ролей

При изменении области в группе ролей с помощью Центра администрирования Exchange фактически меняется область всех назначений ролей между этой группой и каждой назначенной для нее ролью управления. Чтобы изменить область определенных назначений ролей, необходимо использовать процедуры с применением командной консоли Exchange, описанные далее в этой статье.

Важно!

Вы не можете использовать EAC для управления областями назначения ролей между ролями и группой ролей, если вы использовали командную консоль Exchange для настройки нескольких областей или монопольных областей для этих назначений ролей. Если вы настроили несколько областей или монопольных областей для этих назначений ролей, необходимо использовать процедуры командной консоли Exchange далее в этом разделе для управления областями. Дополнительные сведения об областях ролей управления см. в разделе Understanding Management Role Scopes.

1. В EAC перейдите в раздел Разрешения>Администратор Роли.

2. Выберите группу ролей, в которой вы хотите изменить область, и нажмите кнопку Изменить

3. Выберите один из двух следующих параметров для пункта Область записи.

   • Область записи из раскрывающегося списка, в котором можно выбрать область записи по умолчанию либо пользовательскую область записи.

   • Подразделение. Выберите этот параметр и укажите подразделение, если вы хотите область эту группу ролей в подразделение.

4. Нажмите кнопку Сохранить, чтобы сохранить изменения в группе ролей.

Изменение областей сразу для всех назначений ролей в группе ролей с помощью командной консоли Exchange

Для назначений ролей между группой ролей и назначенными ей ролями может использоваться неявная область, полученная на основе самих ролей, текущей настраиваемой области или других настраиваемых областей. Дополнительные сведения о назначениях ролей см. в разделе Understanding Management Role Assignments.

Управлять областями назначений ролей можно с помощью командлета Set-ManagementRoleAssignment. Невозможно управлять областями с помощью командлета Set-RoleGroup.

Чтобы изменить области всех назначений ролей между группой ролей и набором ролей управления одновременно, необходимо получить назначения ролей в группе ролей, а затем установить новую область для каждого назначения. Используйте командлет Get-ManagementRoleAssignment, чтобы получить назначения ролей и передать их по конвейеру командлету Set-ManagementRoleAssignment.

В этой процедуре используются концепции конвейерной обработки и переключателя WhatIf . Дополнительную информацию см. в следующих статьях:

• about_Pipelines

• WhatIf, Confirm, and ValidateOnly Switches

Чтобы установить область для всех назначений ролей в группе ролей одновременно, используйте следующую синтаксическую конструкцию.

Get-ManagementRoleAssignment -RoleAssignee <name of role group> | Set-ManagementRoleAssignment -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name> -RecipientRelativeScopeWriteScope < MyDistributionGroups | Organization | Self> -ExclusiveRecipientWriteScope <exclusive recipient scope name> -ExclusiveConfigWriteScope <exclusive configuration scope name> -RecipientOrganizationalUnitScope <organizational unit>

Можно использовать только те параметры, которые требуются для настройки необходимой области. Например, чтобы изменить область получателя для всех назначений ролей в группе ролей «Управление получателями продаж» на «Сотрудники прямых продаж», используйте следующую команду.

Get-ManagementRoleAssignment -RoleAssignee "Sales Recipient Management" | Set-ManagementRoleAssignment -CustomRecipientWriteScope "Direct Sales Employees"

Примечание.

Вы можете использовать параметр WhatIf , чтобы убедиться, что изменяются только назначения ролей, которые вы хотите изменить. Выполните предыдущую команду с параметром WhatIf , чтобы проверить результаты, а затем удалите параметр WhatIf , чтобы применить изменения.

Дополнительные сведения об изменении назначений ролей управления см. в разделе Change a Role Assignment.

Дополнительные сведения о синтаксисе и параметрах см. в разделе Get-ManagementRoleAssignment.

Изменение области отдельных назначений ролей в группе ролей с помощью командной консоли Exchange

Для назначений ролей между группой ролей и назначенными ей ролями может использоваться неявная область, полученная на основе самих ролей, текущей настраиваемой области или других настраиваемых областей. Дополнительные сведения о назначениях ролей см. в разделе Understanding Management Role Assignments.

Управлять областями назначений ролей можно с помощью командлета Set-ManagementRoleAssignment. Невозможно управлять областями с помощью командлета Set-RoleGroup.

В этой процедуре используется концепция конвейерной передачи и командлет Format-List. Дополнительную информацию см. в следующих статьях:

• about_Pipelines

• Working with Command Output

Чтобы изменить область назначения роли между группой ролей и ролью управления, необходимо найти имя назначения роли и установить область для назначения роли.

1. Чтобы найти имена всех назначений ролей группы ролей, используйте следующую команду. При передаче по конвейеру назначений ролей управления в командлет Format-List отображается полное имя назначения.

   Get-ManagementRoleAssignment -RoleAssignee <role group name> | Format-List Name
   

2. Поиск имени назначения роли, которое необходимо изменить. Используйте имя назначения роли на следующем шаге.

3. Чтобы задать область отдельного назначения, используйте следующую синтаксическую конструкцию.

   Set-ManagementRoleAssignment <role assignment name> -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name> -RecipientRelativeScopeWriteScope < MyDistributionGroups | Organization | Self> -ExclusiveRecipientWriteScope <exclusive recipient scope name> -ExclusiveConfigWriteScope <exclusive configuration scope name> -RecipientOrganizationalUnitScope <organizational unit>
   

Можно использовать только те параметры, которые требуются для настройки необходимой области. Например, чтобы изменить область получателя для назначения роли «Управление получателями почты/продаж» на «Все сотрудники продаж», используйте следующую команду.

Set-ManagementRoleAssignment "Mail Recipients_Sales Recipient Management" -CustomRecipientWriteScope "All Sales Employees"

Дополнительные сведения об изменении назначений ролей управления см. в разделе Change a Role Assignment.

Дополнительные сведения о синтаксисе и параметрах см. в разделе Set-ManagementRoleAssignment.

Как проверить, все ли получилось?

Чтобы убедиться в успешном изменении области назначения ролей для группы ролей, выполните следующие действия.

• Если с целью настройки области для группы ролей использовался Центр администрирования Exchange, выполните следующие действия.

  1. В EAC перейдите в раздел Разрешения>Администратор Роли. Здесь перечислены все группы ролей в организации.

  2. Выберите группу ролей, чтобы просмотреть настроенную для нее область.

• Если вы настраивали область применения группы ролей с помощью командной консоли Exchange, выполните указанные ниже действия.

  1. Выполните в командной консоли Exchange приведенную ниже команду.

     Get-ManagementRoleAssignment -RoleAssignee <role group name> | Format-Table *WriteScope
     

  2. Убедитесь, что область записи для назначений ролей была изменена на указанную область.

Добавление или удаление делегата группы ролей

Делегаты группы ролей — это пользователи или универсальные группы безопасности, которые могут добавлять или удалять членов из группы ролей или изменять ее свойства. Добавляя или удаляя делегатов группы ролей, можно управлять разрешениями на управление группой ролей.

Важно!

После добавления делегата в группу ролей эта группа может управляться только делегатами группы или пользователями, которым напрямую или косвенно назначена роль управления ролями. > Если пользователю прямо или косвенно назначена роль "Управление ролями" и он не добавляется в качестве делегата группы ролей, он должен использовать параметр BypassSecurityGroupManagerCheck для командлетов Add-RoleGroupMember, Remove-RoleGroupMember, Update-RoleGroupMember и Set-RoleGroup для управления группой ролей.

Примечание.

Вы не можете использовать Центр администрирования Exchange для добавления делегата в группу ролей.

Добавление делегата в группу ролей с помощью командной консоли Exchange

Чтобы изменить список делегатов в группе ролей, используйте параметр ManagedBy в командлете Set-RoleGroup . Параметр ManagedBy перезаписывает весь список делегатов в группе ролей. При необходимости добавить делегатов в группу ролей вместо замены всего списка делегатов выполните следующие действия:

1. Сохраните группу ролей в переменной с помощью следующей команды.

   $RoleGroup = Get-RoleGroup <role group name>
   

2. Добавьте делегата в группу ролей, сохраненную в переменной, используя следующую команду.

   $RoleGroup.ManagedBy += (Get-User <user to add>).Identity
   

   Примечание.

   При необходимости добавить универсальную группу безопасности используйте командлет Get-Group.

3. Повторите шаг 2 для каждого делегата, которого необходимо добавить.

4. Примените новый список делегатов для текущей группы ролей с помощью следующей команды.

   Set-RoleGroup <role group name> -ManagedBy $RoleGroup.ManagedBy
   

В этом примере в качестве делегата в группу ролей Управление организацией добавляется пользователь Сергей Озеров.

$RoleGroup = Get-RoleGroup "Organization Management"
$RoleGroup.ManagedBy += (Get-User "David Strome").Identity
Set-RoleGroup "Organization Management" -ManagedBy $RoleGroup.ManagedBy

Дополнительные сведения о синтаксисе и параметрах см. в разделе Set-RoleGroup.

Удаление делегата из группы ролей с помощью командной консоли Exchange

Чтобы изменить список делегатов в группе ролей, используйте параметр ManagedBy в командлете Set-RoleGroup . Параметр ManagedBy перезаписывает весь список делегатов в группе ролей. При необходимости удалить делегатов из группы ролей вместо замены всего списка делегатов выполните следующие действия:

1. Сохраните группу ролей в переменной с помощью следующей команды.

   $RoleGroup = Get-RoleGroup <role group name>
   

2. Удалите делегата из группы ролей, сохраненной в переменной, используя следующую команду.

   $RoleGroup.ManagedBy -= (Get-User <user to remove>).Identity
   

   Примечание.

   При необходимости удалить универсальную группу безопасности используйте командлет Get-Group.

3. Повторите шаг 2 для каждого делегата, которого необходимо удалить.

4. Примените новый список делегатов для текущей группы ролей с помощью следующей команды.

   Set-RoleGroup <role group name> -ManagedBy $RoleGroup.ManagedBy
   

В этом примере в качестве делегата из группы ролей Управление организацией удаляется пользователь Сергей Озеров.

$RoleGroup = Get-RoleGroup "Organization Management"
$RoleGroup.ManagedBy -= (Get-User "David Strome").Identity
Set-RoleGroup "Organization Management" -ManagedBy $RoleGroup.ManagedBy

Дополнительные сведения о синтаксисе и параметрах см. в разделе Set-RoleGroup.

Как проверить, все ли получилось?

Чтобы убедиться в успешном изменении списка делегатов для группы ролей, выполните следующие действия.

1. В командной консоли Exchange выполните приведенную ниже команду.

   Get-RoleGroup <role group name> | Format-List ManagedBy
   

2. Убедитесь, что делегаты, перечисленные в свойстве ManagedBy , включают только делегатов, которые должны иметь возможность управлять группой ролей.