Добавление роли для пользователя или универсальной группы безопасностиAdd a role to a user or USG

Применимо к: Exchange Server 2013Applies to: Exchange Server 2013

Пользователю или универсальной группе безопасности можно назначить роль управления. Назначение роли пользователю или универсальной группе безопасности позволяет предоставить пользователям права на выполнение задач, зависящих от командлетов, сценариев и соответствующих параметров, определенных в роли управления.Management role assignments can assign a management role to a user or universal security group (USG). By assigning a role to a user or USG, you enable those users to perform tasks dependent on cmdlets or scripts and their parameters defined on the management role.

Если необходимо назначить роли группе ролей управления или политики назначения ролей управления, см. следующие разделы.If you want to assign roles to a management role group or a management role assignment policy, see the following topics:

Если следует добавить членов в группу ролей или назначить пользователю политику назначения ролей, см. следующие разделы.If you want to add members to a role group or assign a role assignment policy to an end user, see the following topics:

Дополнительные сведения см. в разделе Общие сведения об управлении доступом на основе ролей.For more information, see Understanding Role Based Access Control.

Необходимы сведения о других задачах управления, связанных с ролями? См. раздел Дополнительные разрешения.Looking for other management tasks related to roles? Check out Advanced permissions.

Что нужно знать перед началом работыWhat do you need to know before you begin?

  • Предполагаемое время для завершения каждой процедуры: 5 минутEstimated time to complete each procedure: 5 minutes

  • Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в статье Запись «Назначения ролей» в разделе Разрешения управления ролями.You need to be assigned permissions before you can perform this procedure or procedures. To see what permissions you need, see the "Role assignments" entry in the Role management permissions topic.

  • Для выполнения этих процедур необходимо использовать командную консоль Exchange.You must use the Shell to perform these procedures.

  • Несмотря на то что роли можно назначать напрямую пользователям и универсальным группам безопасности, рекомендуемым методом предоставления разрешений администраторам и пользователям является использование групп ролей управления и политик назначения ролей управления. Модель предоставления разрешений упрощается за счет использования групп и политик назначения ролей.Although you can assign roles directly to users and USGs, the recommended method of granting permissions to administrators and end users is to use management role groups and management role assignment policies. When you use role groups and assignment policies, you simplify your permissions model.

  • Назначения ролей являются аддитивными. Это означает, что все роли суммируются при их оценке. Если пользователю назначены две роли и одна из них содержит командлет, а другая нет, то командлет будет доступен пользователю.Role assignments are additive. This means that all the roles are added together when they're evaluated. If two roles are assigned to a user and one role contains a cmdlet but the other doesn't, the cmdlet will still be available to the user.

    По умолчанию назначения ролей не предоставляют право на назначения ролей другим пользователям. Чтобы разрешить пользователю назначать роли другим пользователям или универсальным группам безопасности, см. раздел Назначения роли делегата.By default, role assignments don't grant the ability to assign roles to other users. To enable a user to assign roles to other users or USGs, see Delegate role assignments.

  • При создании назначения с областью эта область переопределяет неявную область записи роли. Тем не менее, неявная область чтения данной роли по-прежнему применяется. Новая область не может возвращать объекты, которые находятся за пределами неявной области чтения этой роли. Дополнительные сведения см. в разделе Общие сведения об областях ролей управления.If you create an assignment with a scope, the scope overrides the role's implicit write scope. However, the role's implicit read scope still applies. The new scope can't return objects outside of the role's implicit read scope. For more information, see Understanding management role scopes.

  • Все процедуры, описанные в этом разделе используйте параметр SecurityGroup назначение ролей универсальной группы безопасности. Если вы хотите назначить роль для отдельного пользователя, используйте параметр User вместо параметр SecurityGroup . Все другие синтаксис для каждой команды аналогична.All the procedures in this topic use the SecurityGroup parameter to assign roles to a USG. If you want to assign the role to a specific user, use the User parameter instead of the SecurityGroup parameter. All other syntax for each command is the same.

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts in the Exchange admin center.

Совет

Возникли проблемы? Обращение за помощью в форумах Exchange. Посетите форумы Exchange Server, Exchange Onlineили Exchange Online Protection.Having problems? Ask for help in the Exchange forums. Visit the forums at Exchange Server, Exchange Online, or Exchange Online Protection.

Что необходимо сделать?What do you want to do?

Создание назначения роли без областиCreate a role assignment with no scope

Можно создать назначение роли без области. При этом применяются неявные области чтения и записи роли.You can create a role assignment with no scope. When you do this, the implicit read and implicit write scopes of the role apply.

Используйте следующий синтаксис для назначения роли универсальной группе безопасности без области.Use the following syntax to assign a role to a USG without any scope.

    New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name>

В этом примере роль Exchange Servers назначается универсальной группе безопасности SeattleAdmins.This example assigns the Exchange Servers role to the SeattleAdmins USG.

    New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers"

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.For detailed syntax and parameter information, see New-ManagementRoleAssignment.

Создание назначения роли с предварительно определенной относительной областьюCreate a role assignment with a predefined relative scope

Если предварительно определенная относительная область соответствует бизнес-требованиям, можно применить эту область к назначению роли, а не создавать пользовательскую область. Список предварительно определенных областей и их описания см. в разделе Общие сведения об областях ролей управления.If a predefined relative scope meets your business requirements, you can apply that scope to the role assignment rather than create a custom scope. For a list of predefined scopes and their descriptions, see Understanding management role scopes.

Используйте следующий синтаксис для назначения роли универсальной группе безопасности с предварительно определенной областью.Use the following syntax to assign a role to a USG with a predefined scope.

    New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -RecipientRelativeWriteScope < MyDistributionGroups | Organization | Self >

В этом примере роль Exchange Servers назначается универсальной группе безопасности SeattleAdmins, а затем применяется предварительно определенная область Organization.This example assigns the Exchange Servers role to the SeattleAdmins USG and applies the Organization predefined scope.

    New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers" -RecipientRelativeWriteScope Organization

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.For detailed syntax and parameter information, see New-ManagementRoleAssignment.

Создание назначения роли с областью, основанной на фильтре получателейCreate a role assignment with a recipient filter-based scope

Если создана область, основанная на фильтре получателей, которую следует использовать для назначения роли, необходимо включить область в команду, используемую для назначения роли универсальной группе безопасности, с помощью параметра CustomRecipientWriteScope. При использовании параметра CustomRecipientWriteScope невозможно использовать параметр RecipientOrganizationalUnitScope.If you created a recipient filter-based scope and want to use it with a role assignment, you need to include the scope in the command used to assign the role to a USG by using the CustomRecipientWriteScope parameter. If you use the CustomRecipientWriteScope parameter, you can't use the RecipientOrganizationalUnitScope parameter.

Чтобы добавить область к назначению роли, ее необходимо создать. Дополнительные сведения см. в разделе Создание регулярной или монопольной области.Before you can add a scope to a role assignment, you need to create one. For more information, see Create a regular or exclusive scope.

Используйте следующий синтаксис для назначения роли универсальной группе безопасности с областью, основанной на фильтре получателей.Use the following syntax to assign a role to a USG with a recipient filter-based scope.

    New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -CustomRecipientWriteScope <role scope name>

В этом примере роль Mail Recipients назначается универсальной группе безопасности Seattle Recipient Admins, а затем применяется область Seattle Recipients.This example assigns the Mail Recipients role to the Seattle Recipient Admins USG and applies the Seattle Recipients scope.

    New-ManagementRoleAssignment -Name "Mail Recipients_Seattle Recipient Admins" -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -CustomRecipientWriteScope "Seattle Recipients"

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.For detailed syntax and parameter information, see New-ManagementRoleAssignment.

Создание назначения роли с областью настройки на основе сервера, списка или фильтра серверовCreate a role assignment with a server or database filter or list-based configuration scope

Если создан фильтр серверов или баз данных или область конфигурации на основе списка и будет использоваться вместе с назначения ролей, необходимо включить на уровне в команде, используемых для назначения роли универсальной группы безопасности с помощью параметра CustomConfigWriteScope .If you created a server or database filter or list-based configuration scope and want to use it with a role assignment, you need to include the scope in the command used to assign the role to a USG by using the CustomConfigWriteScope parameter.

Чтобы добавить область к назначению роли, ее необходимо создать. Дополнительные сведения см. в разделе Создание регулярной или монопольной области.Before you can add a scope to a role assignment, you need to create one. For more information, see Create a regular or exclusive scope.

Используйте следующий синтаксис для назначения роли универсальной группе безопасности с областью настройки.Use the following syntax to assign a role to a USG with a configuration scope.

    New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -CustomConfigWriteScope <role scope name>

В этом примере роль Exchange Servers назначается универсальной группе безопасности MailboxAdmins, а затем применяется область Mailbox Servers.This example assigns the Exchange Servers role to the MailboxAdmins USG and applies the Mailbox Servers scope.

    New-ManagementRoleAssignment -Name "Exchange Servers_MailboxAdmins" -SecurityGroup MailboxAdmins -Role "Exchange Servers" -CustomConfigWriteScope "Mailbox Servers"

В предыдущем примере представлен процесс назначения роли с областью настройки сервера. Синтаксис для добавления области настройки базы данных одинаков. Вместо имени области сервера указывается имя области базы данных.The preceding example shows how to add a role assignment with a server configuration scope. The syntax to add a database configuration scope is the same. You specify the name of a database scope instead of a server scope.

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.For detailed syntax and parameter information, see New-ManagementRoleAssignment.

Создание назначения ролей с областью применения в подразделенияхCreate a role assignment with an OU scope

Если необходимо назначить подразделению область записи роли, можно указать это подразделение напрямую в параметре RecipientOrganizationalUnitScope. При использовании параметра RecipientOrganizationalUnitScope невозможно использовать параметр CustomRecipientWriteScope.If you want to scope a role's write scope to an organizational unit (OU), you can specify the OU in the RecipientOrganizationalUnitScope parameter directly. If you use the RecipientOrganizationalUnitScope parameter, you can't use the CustomRecipientWriteScope parameter.

Используйте приведенный ниже синтаксис для назначения ролей универсальной группе безопасности и ограничения области записи роли для определенного подразделения.Use the following syntax to assign a role to a USG and restrict the write scope of a role to a specific OU.

    New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -RecipientOrganizationalUnitScope <OU>

В этом примере роль Mail Recipients назначается группе ролей SalesRecipientAdmins, затем область действия этого назначения сужается до подразделения sales/users в домене contoso.com.This example assigns the Mail Recipients role to the SalesRecipientAdmins USG and scopes the assignment to the sales/users OU in the contoso.com domain.

    New-ManagementRoleAssignment -Name "Mail Recipients_SalesRecipientAdmins" -SecurityGroup SalesRecipientAdmins -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.For detailed syntax and parameter information, see New-ManagementRoleAssignment.

Создание назначения ролей с монопольной областью получателей или конфигурацийCreate a role assignment with an exclusive recipient or configuration scope

Чтобы создать монопольное назначение ролей с монопольной областью получателей или конфигураций, можно использовать те же процедуры, приведенные в разделах Create a role assignment with a recipient filter-based scope и Create a role assignment with a server or database filter or list-based configuration scope. Единственное отличие состоит в том, что при создании назначения ролей с монопольной областью, необходимо указать следующие исключительные параметры в зависимости от использования монопольной области получателей или монопольной области конфигураций.To create an exclusive role assignment with an exclusive recipient or configuration scope, the same procedures provided in the Create a role assignment with a recipient filter-based scope and Create a role assignment with a server or database filter or list-based configuration scope sections can be used. The only difference is that when you create a role assignment with an exclusive scope, you must specify the following exclusive parameters depending on whether you're using an exclusive recipient scope or an exclusive configuration scope:

  • Исключительных областей получателей Используйте параметр ExclusiveRecipientWriteScope вместо параметра CustomRecipientWriteScope .Exclusive recipient scopes Use the ExclusiveRecipientWriteScope parameter instead of the CustomRecipientWriteScope parameter.

  • Конфигурация исключительных областей Используйте параметр ExclusiveConfigWriteScope вместо параметр CustomConfigWriteScope .Exclusive configuration scopes Use the ExclusiveConfigWriteScope parameter instead of the CustomConfigWriteScope parameter.

При выполнении этой процедуры пользователи, которым была назначена роль, могут выполнять действия над объектами, включенными в монопольную область. Дополнительные сведения о монопольных областях см. в разделе Общие сведения об исключительных областях.When you perform this procedure, the role assignees assigned the role can perform actions against the objects included in the exclusive scope. For more information about exclusive scopes, see Understanding exclusive scopes.

Нельзя создать назначение ролей одновременно со стандартной и монопольной областью.You can't create a role assignment with both exclusive and regular scopes.

В этом примере роль Mail Recipients назначается универсальной группе безопасности Protected User Admins, а затем применяется область Protected Users.This example assigns the Mail Recipients role to the Protected User Admins USG and applies the Protected Users exclusive scope.

    New-ManagementRoleAssignment -Name "Mail Recipients_Protected User Admins" -SecurityGroup "Protected User Admins" -Role "Mail Recipients" -ExclusiveRecipientWriteScope "Protected Users"

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.For detailed syntax and parameter information, see New-ManagementRoleAssignment.