Управление группами ролей

Группа ролей управления — это универсальная группа безопасности (USG), используемая в модели разрешений на основе ролей (RBAC) в Exchange Server. Группа ролей управления упрощает назначение ролей управления группе пользователей. Для всех участников группы ролей назначается идентичный набор ролей. Дополнительные сведения о группах ролей в Exchange Server см. в Exchange Server Understanding Management Role Groups.

Дополнительные сведения о задачах управления, связанных с группами ролей, см. в разделе Разрешения.

Что нужно знать перед началом работы?

Совет

Возникли проблемы? Попросите помощи на форумах Exchange. Перейти на форумы можно по следующим ссылкам: Exchange Server, Exchange Online или Exchange Online Protection.

Создание группы ролей

Если нужно настроить разрешения, которые можно назначить группе пользователей, создайте новую настраиваемую группу ролей управления.

Использование Центра администрирования Exchange для создания группы ролей

  1. В центре Exchange администрирования (EAC) перейдите к Разрешениям Роли администратора и > нажмите кнопку Добавить  значок Добавить .

  2. В окне Новая группа ролей укажите имя новой группы.

  3. Вы можете сразу выбрать роли, которые требуется назначить группе ролей, и членов, которых требуется добавить к группе ролей, или сделать это позднее.

  4. Выберите область записи, которую требуется применить к новой группе ролей.

  5. Нажмите кнопку Сохранить, чтобы создать группу.

Создание группы ролей с помощью командной консоли Exchange

Сведения о создании группы ролей см. в разделе Examples статьи New-RoleGroup.

Как проверить, что все получилось?

Чтобы убедиться в успешном создании группы ролей, выполните следующие действия.

  1. В центре администрирования Exchange откройте раздел Разрешения > Роли администраторов.

  2. Убедитесь, что новая группа ролей отображается в списке групп ролей, и выберите ее.

  3. Убедитесь, что члены, назначенные роли и область, которые вы указали для новой группы ролей, перечислены в области сведений группы ролей.

Копирование группы ролей

Использование Центра администрирования Exchange для копирования группы ролей

Если при предоставлении разрешений группы ролей другим пользователям необходимо применить другую область управления, удалить либо добавить одну или несколько ролей управления без необходимости добавлять все роли вручную, можно скопировать существующую группу ролей.

Важно!

Центр администрирования Exchange невозможно использовать для копирования группы ролей, если с помощью командной консоли Exchange в этой группе ролей было настроено несколько областей применения для ролей управления или монопольных областей. Если для группы ролей настроено несколько областей применения или монопольных областей, то для копирования группы ролей необходимо использовать процедуры с применением командной консоли Exchange, описанные далее в этой статье. Дополнительные сведения об областях применения ролей управления см. в статье Understanding Management Role Scopes.

  1. В центре администрирования Exchange откройте раздел Разрешения > Роли администраторов.

  2. Выберите группу ролей, которую необходимо скопировать, а затем щелкните значок Copy  Copy .

  3. В окне Новая группа ролей укажите имя новой группы.

  4. Просмотрите роли, которые были скопированы в новую группу ролей. Добавьте или удалите роли при необходимости.

  5. Просмотрите область записи и при необходимости измените ее.

  6. Просмотрите членов, которые были скопированы в новую группу ролей. Добавьте или удалите членов при необходимости.

  7. Нажмите кнопку Сохранить, чтобы создать группу.

Копирование группы ролей без области применения с помощью командной консоли Exchange

  1. Сохраните группу ролей, которую необходимо копировать, в переменной с помощью следующей синтаксической конструкции:

    $RoleGroup = Get-RoleGroup <name of role group to copy>
    
  2. Создайте новую группу ролей, добавьте в нее членов и укажите пользователей, которые могут делегировать новую группу ролей другим пользователям, с помощью следующего синтаксиса.

    New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -Members <member1, member2, member3...> -ManagedBy <user1, user2, user3...>
    

    Например, следующие команды копируют группу ролей «Organization Management» и присваивают новой группе ролей имя «Limited Organization Management». В группу добавляются члены Isabelle, Carter и Lukas и назначаются пользователи, которые могут делегировать группу ролей: Jenny и Katie.

    $RoleGroup = Get-RoleGroup "Organization Management"
    New-RoleGroup "Limited Organization Management" -Roles $RoleGroup.Roles -Members Isabelle, Carter, Lukas -ManagedBy Jenny, Katie
    

После создания группы ролей в нее можно добавлять роли или удалять роли из нее, изменять область назначений ролей и т. д.

Дополнительные сведения о синтаксисе и параметрах см. в разделах Get-RoleGroup и New-RoleGroup.

Копирование группы ролей с пользовательской областью применения с помощью командной консоли Exchange

  1. Сохраните группу ролей, которую необходимо копировать, в переменной с помощью следующей синтаксической конструкции:

    $RoleGroup = Get-RoleGroup <name of role group to copy>
    
  2. Создайте новую группу ролей с настраиваемой областью с помощью следующей синтаксической конструкции:

    New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuraiton scope name>
    

Например, следующие команды копируют группу ролей «Organization Management» и создают новую группу ролей с именем «Vancouver Organization Management» с областью получателей «Vancouver Users» и областью конфигурации «Vancouver Servers».

$RoleGroup = Get-RoleGroup "Organization Management"
New-RoleGroup "Vancouver Organization Management" -Roles $RoleGroup.Roles -CustomRecipientWriteScope "Vancouver Users" -CustomConfigWriteScope "Vancouver Servers"

Можно также добавить членов в группу ролей при ее создании с помощью параметра Members, как показано в разделе Использование Exchange Management Shell для создания назначения ролей без области, ранее в этом разделе. Дополнительные сведения об областях управления см. в разделе Understanding Management Scopes.

После создания группы ролей в нее можно добавлять роли или удалять роли из нее, изменять область назначений ролей и выполнять другие задачи.

Дополнительные сведения о синтаксисе и параметрах см. в разделах Get-RoleGroup и New-RoleGroup.

Копирование группы ролей с областью подразделения с помощью командной консоли Exchange

  1. Сохраните группу ролей, которую необходимо копировать, в переменной с помощью следующей синтаксической конструкции:

    $RoleGroup = Get-RoleGroup <name of role group to copy>
    
  2. Создайте новую группу ролей с настраиваемой областью с помощью следующей синтаксической конструкции:

    New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -RecipientOrganizationalUnitScope <OU name>
    

Например, следующие команды копируют группу ролей «Recipient Management» и создают новую группу ролей с именем «Toronto Recipient Management», которая позволяет управлять только пользователями в подразделении «Toronto Users».

$RoleGroup = Get-RoleGroup "Recipient Management"
New-RoleGroup "Toronto Recipient Management" -Roles $RoleGroup.Roles -RecipientOrganizationalUnitScope "contoso.com/Toronto Users"

Можно также добавить членов в группу ролей при ее создании с помощью параметра Members, как показано в разделе Использование Exchange Management Shell для создания назначения ролей без области, ранее в этом разделе. Дополнительные сведения об областях управления см. в разделе Understanding Management Scopes.

После создания группы ролей в нее можно добавлять роли или удалять роли из нее, изменять область назначений ролей и т. д.

Дополнительные сведения о синтаксисе и параметрах см. в разделах Get-RoleGroup и New-RoleGroup.

Как проверить, что все получилось?

Чтобы убедиться в успешном копировании группы ролей, выполните следующие действия.

  1. В центре администрирования Exchange откройте раздел Разрешения > Роли администраторов.

  2. Убедитесь, что скопированная группа ролей отображается в списке групп ролей, и выберите ее.

  3. Убедитесь, что члены, назначенные роли и область, которые вы указали для скопированной группы ролей, перечислены в области сведений группы ролей.

Удаление группы ролей

Если созданная группа ролей больше не нужна, ее можно удалить. При удалении группы ролей также удаляются и назначения управления ролями между группой ролей и ролями управления. Сами роли управления не удаляются. Если доступ пользователя к функции зависел от группы ролей, пользователь не будет иметь доступа к функции. Встроенные группы ролей удалить невозможно.

Использование Центра администрирования Exchange для удаления группы ролей

  1. В центре администрирования Exchange откройте раздел Разрешения > Роли администраторов.

  2. Выберите группу ролей, которую необходимо удалить, а затем нажмите кнопку Удалить значок Удалить  .

  3. Убедитесь, что вы хотите удалить выбранную группу ролей, и, если это так, выберите Да в качестве ответа на предупреждение.

Удаление группы ролей с помощью командной консоли Exchange

Сведения об удалении группы ролей см. в разделе Examples статьи Remove-RoleGroup.

Просмотр групп ролей

Вы можете просмотреть список групп ролей или подробные сведения о конкретной группе ролей, существующей в организации.

Использование Центра администрирования Exchange для просмотра списка групп ролей и сведений о них

  1. В центре администрирования Exchange откройте раздел Разрешения > Роли администраторов. Здесь перечислены все группы ролей в организации.

  2. Выберите группу ролей для просмотра членов, назначенных ролей и области, настроенных для группы ролей.

Просмотр списка групп ролей и сведений о них с помощью командной консоли Exchange

Сведения о просмотре списка групп ролей см. в разделе Examples статьи Get-RoleGroup.

Добавление роли в группу ролей

Добавление роли управления в группу ролей является самым лучшим и простым способом предоставления разрешений группе администраторов или пользователей-специалистов. Если следует предоставить пользователям, являющимся членами группы ролей, возможность управлять определенной возможностью, следует добавить в группу ролей роль управления, которая отвечает за управление этой возможностью. После добавления роли членам группы ролей предоставляются разрешения, обеспечиваемые данной ролью.

Использование Центра администрирования Exchange для добавления роли управления в группу ролей

Важно!

С помощью Центра администрирования Exchange невозможно добавлять роли в группу ролей, если для настройки нескольких областей ролей управления или монопольных областей в этой группе ролей использовалась Командная консоль Exchange. Если для группы ролей было настроено несколько областей ролей управления или монопольных областей, то для добавления ролей в группу следует использовать описанные ниже в этой статье процедуры для командной консоли Exchange. Дополнительные сведения об областях применения ролей управления см. в статье Understanding Management Role Scopes.

  1. В центре администрирования Exchange откройте раздел Разрешения > Роли администраторов.

  2. Выберите группу ролей, в которую нужно добавить роль, и нажмите кнопку Изменить значок Изменить  .

  3. В разделе Роли выберите роли, которые требуется добавить в группу ролей.

  4. Когда добавление ролей в группу ролей завершено, нажмите кнопку Сохранить.

Создание назначения роли без области с помощью командной консоли Exchange

Можно создать назначение роли без области между ролью и группой ролей. При этом применяются неявные области чтения и записи роли.

Используйте следующий синтаксис для назначения группе ролей роли без области. Если имя назначения роли не задано, оно создается автоматически.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name>

В этом примере группе ролей Seattle Compliance назначается роль управления Transport Rules.

New-ManagementRoleAssignment -SecurityGroup "Seattle Compliance" -Role "Transport Rules"

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

Создание назначения роли с предварительно определенной областью с помощью командной консоли Exchange

Если предварительно определенная область соответствует потребностям организации, можно применить эту область к назначению роли, а не создавать новую. Список предварительно определенных областей и их описания см. в разделе Understanding Management Role Scopes.

Дополнительные сведения о назначениях ролей см. в разделе Understanding Management Role Assignments.

Используйте следующий синтаксис для назначения группе ролей роли с предварительно определенной областью. Если имя назначения роли не задано, оно создается автоматически.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -RecipientRelativeWriteScope < MyGAL | MyDistributionGroups | Organization | Self >

В этом примере роль Message Tracking назначается группе ролей Enterprise Support, затем применяется предварительно определенная область Organization.

New-ManagementRoleAssignment -SecurityGroup "Enterprise Support" -Role "Message Tracking" -RecipientRelativeWriteScope Organization

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

Создание назначения роли с областью, основанной на фильтре получателей, с помощью командной консоли Exchange

Если создана область фильтрации получателей, необходимо включить область в команду, используемую для назначения роли группе ролей с помощью параметра CustomRecipientWriteScope.

Также можно включить область записи конфигурации при создании назначения роли с областью, основанной на фильтре получателей.

Дополнительные сведения о назначениях ролей и областях см. в следующих разделах:

Используйте следующий синтаксис для назначения роли группе ролей с областью, основанной на фильтре получателей. Если имя назначения роли не задано, оно создается автоматически.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -CustomRecipientWriteScope <role scope name>

В этом примере роль Message Tracking назначается группе ролей Seattle Recipient Admins, затем применяется область Seattle Recipients.

New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Message Tracking" -CustomRecipientWriteScope "Seattle Recipients"

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

Создание назначения роли с областью конфигурации с помощью командной консоли Exchange

Если создан фильтр конфигурации сервера или базы данных или область на основе списка, необходимо включить область в команду, используемую для назначения роли группе ролей с помощью параметра CustomConfigWriteScope.

Также можно включить область записи получателей при создании назначения роли с областью, основанной на фильтре конфигураций.

Дополнительные сведения о назначениях ролей и областях управления см. в следующих разделах:

Используйте следующий синтаксис для назначения группе ролей роли с областью конфигурации. Если имя назначения роли не задано, оно создается автоматически.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -CustomConfigWriteScope <role scope name>

В этом примере роль Databases назначается группе ролей Seattle Server Admins, затем применяется область Seattle Servers.

New-ManagementRoleAssignment -SecurityGroup "Seattle Server Admins" -Role "Databases" -CustomConfigWriteScope "Seattle Servers"

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

Создание назначения роли с областью подразделения с помощью командной консоли Exchange

Если вы хотите расширить область записи роли в OU, вы можете указать OU в параметре RecipientOrganizationalUnitScope напрямую.

Дополнительные сведения о назначениях ролей и областях управления см. в следующих разделах:

Используйте приведенную ниже команду для назначения роли группе ролей и ограничения области записи роли определенным подразделением. Если имя назначения роли не задано, оно создается автоматически.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -RecipientOrganizationalUnitScope <OU>

В этом примере роль Mail Recipients назначается группе ролей Seattle Recipient Admins, затем область действия этого назначения сужается до подразделения Sales\Users в домене Contoso.com.

New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

Как проверить, что все получилось?

Чтобы убедиться в успешном добавлении ролей в группу ролей, выполните следующие действия.

  1. В центре администрирования Exchange откройте раздел Разрешения > Роли администраторов.

  2. Выберите группу ролей, в которую вы добавили роли. Убедитесь в наличии добавленных ролей на панели сведений группы ролей.

Удаление роли из группы ролей

Удаление роли из группы ролей управления является самым лучшим и простым способом отзыва разрешений, предоставленных группе администраторов или пользователей-специалистов. Если отсутствует необходимость в предоставлении администраторам или пользователям-специалистам разрешений на управление функцией, следует удалить роль управления из группы ролей управления, управляющей разрешениями. После удаления роли члены группы ролей больше не имеют допуска к управлению функцией.

Примечание

Некоторые группы ролей, например группа ролей Управление организацией, ограничивают число ролей, которые можно удалить из группы ролей. Дополнительные сведения см. в разделе Understanding Management Role Groups. > Если администратор входит в состав другой группы ролей, которая содержит роли управления, позволяющие управлять функцией, необходимо либо удалить администратора из других групп ролей, либо удалить роль, которая предоставляет доступ к управлению функцией из других групп ролей.

Использование Центра администрирования Exchange для удаления роли управления из группы ролей

Важно!

С помощью Центра администрирования Exchange невозможно удалять роли из группы ролей, если для создания нескольких областей применения или монопольных областей для группы ролей использовалась Командная консоль Exchange. Если для группы ролей настроено несколько областей применения или монопольных областей, то для удаления ролей из этой группы необходимо использовать процедуры с применением командной консоли Exchange, представленные далее в этой статье. Дополнительные сведения об областях применения ролей управления см. в статье Understanding Management Role Scopes.

  1. В центре администрирования Exchange откройте раздел Разрешения > Роли администраторов.

  2. Выберите группу ролей, из которую нужно удалить роль, и нажмите кнопку Изменить значок Редактирование  .

  3. В разделе Роли выберите роли, которые требуется удалить из группы ролей.

  4. Когда удаление ролей из группы ролей завершено, нажмите кнопку Сохранить.

Удаление роли из группы ролей с помощью командной консоли Exchange

Можно удалить роли из группы ролей при получении назначения связанной роли управления с использованием командлета Get-ManagementRoleAssignment и последующей передачи назначения роли обратно в командлет Remove-ManagementRoleAssignment. Если вы не хотите одновременно удалять как делегирование, так и регулярные назначения ролей, укажите параметр Делегирование, чтобы указать, следует ли удалять регулярные или делегировать назначения ролей.

Дополнительные сведения о стандартных и делегированных назначениях ролей см. в разделе Understanding Management Role Assignments.

В этой процедуре используется конвейеризация. Дополнительные сведения о pipelining см.в about_Pipelines .

Для удаления роли из группы ролей используйте следующий синтаксис.

Get-ManagementRoleAssignment -RoleAssignee <role group name> -Role <role name> -Delegating <$true | $false> | Remove-ManagementRoleAssignment

В этом примере роль групп рассылки, позволяющая администраторам управлять группами рассылки, удаляется из группы ролей Seattle Recipient Administrators. Так как мы хотим удалить назначение ролей, которое предоставляет разрешения на управление группами рассылки, задан параметр Делегирование, возвращающий только регулярные $False назначения ролей.

Get-ManagementRoleAssignment -RoleAssignee "Seattle Recipient Administrators" -Role "Distribution Groups" -Delegating $false | Remove-ManagementRoleAssignment

Дополнительные сведения о синтаксисе и параметрах см. в разделе Remove-ManagementRoleAssignment.

Как проверить, что все получилось?

Чтобы убедиться в успешном удалении ролей из группы ролей, выполните следующие действия.

  1. В центре администрирования Exchange откройте раздел Разрешения > Роли администраторов.

  2. Выберите группу ролей, из которой вы удалили роли. Убедитесь в отсутствии удаленных ролей на панели сведений группы ролей.

Изменение области группы ролей

Назначения ролей управления между группой ролей и ролью включают в себя области управления, определяющие объекты, которые будут доступны членам этой группы ролей. Можно изменять область записи в группе ролей и указывать, какие объекты разрешено создавать, изменять или удалять членам группы ролей. Невозможно изменить область чтения в группе ролей.

Exchange Server области, которые по умолчанию применяются к назначениям ролей, если не создаются настраиваемые области. Чтобы использовать настраиваемую область для назначения роли в группе ролей, необходимо сначала создать такую область. Дополнительные сведения о создании настраиваемых областей, являющемся сложной задачей, см. в разделе Create a Regular or Exclusive Scope.

Дополнительные сведения о области ролей управления и назначениях в Exchange Server см. в следующих темах:

Использование Центра администрирования Exchange для изменения области в группе ролей

При изменении области в группе ролей с помощью Центра администрирования Exchange фактически меняется область всех назначений ролей между этой группой и каждой назначенной для нее ролью управления. Чтобы изменить область определенных назначений ролей, необходимо использовать процедуры с применением командной консоли Exchange, описанные далее в этой статье.

Важно!

С помощью Центра администрирования Exchange невозможно управлять областями назначений ролей между ролями и группой ролей, если несколько областей или монопольные области для этих назначений ролей были настроены с помощью командной консоли Exchange. Если для этих назначений ролей настроено несколько областей применения или монопольных областей, то для управления областями необходимо использовать процедуры с применением командной консоли Exchange, описанные далее в этой статье. Дополнительные сведения об областях применения ролей управления см. в статье Understanding Management Role Scopes.

  1. В центре администрирования Exchange откройте раздел Разрешения > Роли администраторов.

  2. Выберите группу ролей, на которую необходимо изменить область, а затем нажмите кнопку Изменить значок Редактирование  .

  3. Выберите один из двух следующих параметров для пункта Область записи.

    • Область записи из раскрывающегося списка, в котором можно выбрать область записи по умолчанию либо пользовательскую область записи.

    • Организационное подразделение. Выберите этот параметр и предостановим организационное подразделение (OU), если вы хотите расширить эту группу ролей до OU.

  4. Нажмите кнопку Сохранить, чтобы сохранить изменения в группе ролей.

Изменение областей сразу для всех назначений ролей в группе ролей с помощью командной консоли Exchange

Для назначений ролей между группой ролей и назначенными ей ролями может использоваться неявная область, полученная на основе самих ролей, текущей настраиваемой области или других настраиваемых областей. Дополнительные сведения о назначениях ролей см. в разделе Understanding Management Role Assignments.

Управлять областями назначений ролей можно с помощью командлета Set-ManagementRoleAssignment. Невозможно управлять областями с помощью командлета Set-RoleGroup.

Чтобы изменить области всех назначений ролей между группой ролей и набором ролей управления одновременно, необходимо получить назначения ролей в группе ролей, а затем установить новую область для каждого назначения. Используйте командлет Get-ManagementRoleAssignment, чтобы получить назначения ролей и передать их по конвейеру командлету Set-ManagementRoleAssignment.

В этой процедуре используются понятия pipelining и переключатель WhatIf. Дополнительную информацию см. в следующих статьях:

Чтобы установить область для всех назначений ролей в группе ролей одновременно, используйте следующую синтаксическую конструкцию.

Get-ManagementRoleAssignment -RoleAssignee <name of role group> | Set-ManagementRoleAssignment -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name> -RecipientRelativeScopeWriteScope < MyDistributionGroups | Organization | Self> -ExclusiveRecipientWriteScope <exclusive recipient scope name> -ExclusiveConfigWriteScope <exclusive configuration scope name> -RecipientOrganizationalUnitScope <organizational unit>

Можно использовать только те параметры, которые требуются для настройки необходимой области. Например, чтобы изменить область получателя для всех назначений ролей в группе ролей «Управление получателями продаж» на «Сотрудники прямых продаж», используйте следующую команду.

Get-ManagementRoleAssignment -RoleAssignee "Sales Recipient Management" | Set-ManagementRoleAssignment -CustomRecipientWriteScope "Direct Sales Employees"

Примечание

Вы можете использовать переключатель WhatIf, чтобы убедиться, что изменены только назначения ролей, которые необходимо изменить. Запустите предшествую команду с помощью переключателя WhatIf для проверки результатов, а затем удалите переключатель WhatIf для применения изменений.

Дополнительные сведения об изменении назначений ролей управления см. в разделе Change a Role Assignment.

Дополнительные сведения о синтаксисе и параметрах см. в разделе Get-ManagementRoleAssignment.

Изменение области отдельных назначений ролей в группе ролей с помощью командной консоли Exchange

Для назначений ролей между группой ролей и назначенными ей ролями может использоваться неявная область, полученная на основе самих ролей, текущей настраиваемой области или других настраиваемых областей. Дополнительные сведения о назначениях ролей см. в разделе Understanding Management Role Assignments.

Управлять областями назначений ролей можно с помощью командлета Set-ManagementRoleAssignment. Невозможно управлять областями с помощью командлета Set-RoleGroup.

В этой процедуре используется концепция конвейерной передачи и командлет Format-List. Дополнительные сведения приведены в следующих разделах:

Чтобы изменить область назначения роли между группой ролей и ролью управления, необходимо найти имя назначения роли и установить область для назначения роли.

  1. Чтобы найти имена всех назначений ролей группы ролей, используйте следующую команду. При передаче по конвейеру назначений ролей управления в командлет Format-List отображается полное имя назначения.

    Get-ManagementRoleAssignment -RoleAssignee <role group name> | Format-List Name
    
  2. Поиск имени назначения роли, которое необходимо изменить. Используйте имя назначения роли на следующем шаге.

  3. Чтобы задать область отдельного назначения, используйте следующую синтаксическую конструкцию.

    Set-ManagementRoleAssignment <role assignment name> -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name> -RecipientRelativeScopeWriteScope < MyDistributionGroups | Organization | Self> -ExclusiveRecipientWriteScope <exclusive recipient scope name> -ExclusiveConfigWriteScope <exclusive configuration scope name> -RecipientOrganizationalUnitScope <organizational unit>
    

Можно использовать только те параметры, которые требуются для настройки необходимой области. Например, чтобы изменить область получателя для назначения роли «Управление получателями почты/продаж» на «Все сотрудники продаж», используйте следующую команду.

Set-ManagementRoleAssignment "Mail Recipients_Sales Recipient Management" -CustomRecipientWriteScope "All Sales Employees"

Дополнительные сведения об изменении назначений ролей управления см. в разделе Change a Role Assignment.

Дополнительные сведения о синтаксисе и параметрах см. в разделе Set-ManagementRoleAssignment.

Как проверить, что все получилось?

Чтобы убедиться в успешном изменении области назначения ролей для группы ролей, выполните следующие действия.

  • Если с целью настройки области для группы ролей использовался Центр администрирования Exchange, выполните следующие действия.

    1. В Центре администрирования Exchange последовательно выберите Разрешения> Роли администраторов. Здесь перечислены все группы ролей в организации.

    2. Выберите группу ролей, чтобы просмотреть настроенную для нее область.

  • Если вы настраивали область применения группы ролей с помощью командной консоли Exchange, выполните указанные ниже действия.

    1. Выполните в командной консоли Exchange приведенную ниже команду.

      Get-ManagementRoleAssignment -RoleAssignee <role group name> | Format-Table *WriteScope
      
    2. Убедитесь, что область записи для назначений ролей была изменена на указанную область.

Добавление или удаление делегата группы ролей

Делегаты группы ролей — это пользователи или универсальные группы безопасности, которые могут добавлять или удалять членов из группы ролей или изменять ее свойства. Добавляя или удаляя делегатов группы ролей, можно управлять разрешениями на управление группой ролей.

Важно!

После добавления делегата в группу ролей эта группа может управляться только делегатами группы или пользователями, которым напрямую или косвенно назначена роль управления ролями. > Если пользователю прямо или косвенно назначена роль управления ролью и она не добавляется в качестве делегата группы ролей, для управления группой ролей необходимо использовать переключатель BypassSecurityGroupManagerCheck на add-RoleGroupMember, Remove-RoleGroupMember, Update-RoleGroupMember и Set-RoleGroup.

Примечание

Вы не можете использовать Центр администрирования Exchange для добавления делегата в группу ролей.

Добавление делегата в группу ролей с помощью командной консоли Exchange

Чтобы изменить список делегатов в группе ролей, используйте параметр ManagedBy в группе Set-RoleGroup. Параметр ManagedBy переописает весь список делегатов в группе ролей. При необходимости добавить делегатов в группу ролей вместо замены всего списка делегатов выполните следующие действия:

  1. Сохраните группу ролей в переменной с помощью следующей команды.

    $RoleGroup = Get-RoleGroup <role group name>
    
  2. Добавьте делегата в группу ролей, сохраненную в переменной, используя следующую команду.

    $RoleGroup.ManagedBy += (Get-User <user to add>).Identity
    

    Примечание

    При необходимости добавить универсальную группу безопасности используйте командлет Get-Group.

  3. Повторите шаг 2 для каждого делегата, которого необходимо добавить.

  4. Примените новый список делегатов для текущей группы ролей с помощью следующей команды.

    Set-RoleGroup <role group name> -ManagedBy $RoleGroup.ManagedBy
    

В этом примере в качестве делегата в группу ролей Управление организацией добавляется пользователь Сергей Озеров.

$RoleGroup = Get-RoleGroup "Organization Management"
$RoleGroup.ManagedBy += (Get-User "David Strome").Identity
Set-RoleGroup "Organization Management" -ManagedBy $RoleGroup.ManagedBy

Дополнительные сведения о синтаксисе и параметрах см. в разделе Set-RoleGroup.

Удаление делегата из группы ролей с помощью командной консоли Exchange

Чтобы изменить список делегатов в группе ролей, используйте параметр ManagedBy в группе Set-RoleGroup. Параметр ManagedBy переописает весь список делегатов в группе ролей. При необходимости удалить делегатов из группы ролей вместо замены всего списка делегатов выполните следующие действия:

  1. Сохраните группу ролей в переменной с помощью следующей команды.

    $RoleGroup = Get-RoleGroup <role group name>
    
  2. Удалите делегата из группы ролей, сохраненной в переменной, используя следующую команду.

    $RoleGroup.ManagedBy -= (Get-User <user to remove>).Identity
    

    Примечание

    При необходимости удалить универсальную группу безопасности используйте командлет Get-Group.

  3. Повторите шаг 2 для каждого делегата, которого необходимо удалить.

  4. Примените новый список делегатов для текущей группы ролей с помощью следующей команды.

    Set-RoleGroup <role group name> -ManagedBy $RoleGroup.ManagedBy
    

В этом примере в качестве делегата из группы ролей Управление организацией удаляется пользователь Сергей Озеров.

$RoleGroup = Get-RoleGroup "Organization Management"
$RoleGroup.ManagedBy -= (Get-User "David Strome").Identity
Set-RoleGroup "Organization Management" -ManagedBy $RoleGroup.ManagedBy

Дополнительные сведения о синтаксисе и параметрах см. в разделе Set-RoleGroup.

Как проверить, что все получилось?

Чтобы убедиться в успешном изменении списка делегатов для группы ролей, выполните следующие действия.

  1. В командной консоли Exchange выполните приведенную ниже команду.

    Get-RoleGroup <role group name> | Format-List ManagedBy
    
  2. Убедитесь, что делегаты, перечисленные в свойстве ManagedBy, включают только делегатов, которые должны иметь возможность управлять группой ролей.