Изменение назначения ролиChange a role assignment

Применимо к: Exchange Server 2013Applies to: Exchange Server 2013

При назначении роли управления задается роль управления для уполномоченного роли. С помощью изменения назначения роли можно контролировать, какие объекты могут изменяться уполномоченными ролей, которым назначены роли. Области ролей управления, применяемые к назначениям ролей, переопределяют неявную область записи роли. Тем не менее, неявная область чтения данной роли по-прежнему применяется. Применяемые области не могут возвращать объекты, которые находятся за пределами неявной области чтения роли.Management role assignments assign a management role to a role assignee. By changing the role assignment, you can control what objects role assignees assigned a role can change. Management role scopes applied to role assignments override the role's implicit write scope. However, the role's implicit read scope still applies. Scopes that you apply can't return objects outside of the role's implicit read scope.

Дополнительные сведения об областях и назначениях ролей управления в Microsoft Exchange Server 2013 см. в следующих разделах:For more information about management role scopes and assignments in Microsoft Exchange Server 2013, see the following topics:

Необходимы сведения о других задачах управления, связанных с назначениями ролей? см. в разделе Дополнительные разрешения.Looking for other management tasks related to role assignments? Check out Advanced permissions.

Что нужно знать перед началом работыWhat do you need to know before you begin?

  • Предполагаемое время для завершения каждой процедуры: 5 минутEstimated time to complete each procedure: 5 minutes

  • Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в статье Запись «Назначения ролей» в разделе Разрешения управления ролями.You need to be assigned permissions before you can perform this procedure or procedures. To see what permissions you need, see the "Role assignments" entry in the Role management permissions topic.

  • Для выполнения этих процедур необходимо использовать командную консоль Exchange.You must use the Shell to perform these procedures.

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts in the Exchange admin center.

Совет

Возникли проблемы? Обращение за помощью в форумах Exchange. Посетите форумы Exchange Server, Exchange Onlineили Exchange Online Protection.Having problems? Ask for help in the Exchange forums. Visit the forums at Exchange Server, Exchange Online, or Exchange Online Protection.

Что необходимо сделать?What do you want to do?

Использование командной консоли для включения или отключения назначения ролиUse the Shell to enable or disable a role assignment

Назначения ролей включены по умолчанию, то есть связанная роль применяется к уполномоченному роли, которому эта роль назначена. Если назначение роли отключено, связанная роль к уполномоченному роли не применяется.Role assignments are enabled by default, meaning that the associated role is applied to the role assignee to which the role is assigned. If a role assignment is disabled, the associated role isn't applied to the role assignee.

Чтобы включить назначение роли, используйте следующую синтаксическую конструкцию.To enable a role assignment, use the following syntax.

Set-ManagementRoleAssignment <role assignment> -Enabled $true

Чтобы отключить назначение роли, используйте следующую синтаксическую конструкцию.To disable a role assignment, use the following syntax.

Set-ManagementRoleAssignment <role assignment> -Enabled $false

В этом примере выполняется отключение назначения роли "Служба поддержки".This example disables the Help Desk Assignment role assignment.

Set-ManagementRoleAssignment "Help Desk Assignment" -Enabled $false

Дополнительные сведения о синтаксисе и параметрах см. в разделе Set-ManagementRoleAssignment.For detailed syntax and parameter information, see Set-ManagementRoleAssignment.

Использование командной консоли для изменения роли управления или уполномоченного роли для назначения ролиUse the Shell to change a management role or role assignee on a role assignment

Невозможно изменить указанную роль управления или уполномоченного роли для назначения роли. Чтобы связать назначение роли с другой ролью или уполномоченным роли, необходимо создать новое назначение роли, а затем удалить старое. Дополнительные сведения о добавлении и удалении назначений ролей см. в следующих разделах:You can't change the management role or role assignee specified on a role assignment. If you want a role assignment to be associated with another role or role assignee, you must create a new role assignment, and then delete the old role assignment. For more information about how to add and remove role assignments, see the following topics:

При создании назначений непосредственно для пользователя или универсальной группы безопасности (USG) рекомендуется использовать группы ролей управления и политики назначения ролей управления. Группы ролей и политики назначения позволяют упростить модель разрешений и уменьшить количество назначений ролей, необходимых для управления. Дополнительные сведения см. в разделе Общие сведения об управлении доступом на основе ролей.If you've created assignments directly to a user or universal security group (USG), we recommend that you consider using management role groups and management role assignment policies. Role groups and assignment policies enable you to simplify your permissions model and reduce the number of role assignments you need to manage. For more information, see Understanding Role Based Access Control.

Использование командной консоли для изменения предварительно определенной относительной области для назначения ролиUse the Shell to change a predefined relative scope on a role assignment

Предварительно определенные относительные области для назначения роли можно изменять или добавлять. При добавлении или изменении предварительно определенной области ранее указанные области получателей удаляются из назначения роли. Список предварительно определенных областей и их описания см. в разделе Общие сведения об областях ролей управления.You can change or add a predefined relative scope on a role assignment. If you add or change a predefined scope, any previously specified recipient scopes are removed from the role assignment. For a list of predefined scopes and their descriptions, see Understanding management role scopes.

Для изменения или добавления предварительно определенной области для назначения роли используйте следующую синтаксическую конструкцию.To change or add a predefined scope on a role assignment, use the following syntax.

    Set-ManagementRoleAssignment <assignment name> -RecipientRelativeWriteScope < MyDistributionGroups | Organization | Self >

В этом примере выполняется изменение предварительно определенной области для назначения роли Юрия на Мои_группы_рассылки.This example changes the predefined scope on the John's Assignment role assignment to MyDistributionGroups.

Set-ManagementRoleAssignment "John's Assignment" - RecipientRelativeWriteScope MyDistributionGroups

Дополнительные сведения о синтаксисе и параметрах см. в разделе Set-ManagementRoleAssignment.For detailed syntax and parameter information, see Set-ManagementRoleAssignment.

Использование командной консоли для изменения области фильтра получателей для назначения ролиUse the Shell to change a recipient filter scope on a role assignment

Можно изменить область фильтра получателей, которая уже применена к назначению роли, или указать новую область. При добавлении области фильтра получателей ранее определенные области получателей удаляются из назначения роли.You can either specify a new recipient filter-based scope or change the recipient filter-based scope that's already applied to the role assignment. If you add a recipient filter scope, any previously defined recipient scopes are removed from the role assignment.

Чтобы указать новую область фильтра получателей или заменить существующую, используйте следующую синтаксическую конструкцию.To specify a new recipient filter-based scope or replace an existing one, use the following syntax.

    Set-ManagementRoleAssignment <assignment name> -CustomRecipientWriteScope <role scope name>

В этом примере выполняется добавление или изменение области фильтра получателей на "Получатели в Редмонде".This example adds or changes the recipient filter-based scope to Redmond Recipients.

    Set-ManagementRoleAssignment "Redmond Recipient Administrators Assignment" -CustomRecipientWriteScope "Redmond Recipients"

Чтобы сохранить используемую область фильтра получателей, которая применена к назначению роли, и изменить фильтр получателей, используемый для проверки соответствия объектов получателей, необходимо изменить фильтр получателей самой области. Дополнительные сведения об изменении областей см. в разделе Изменение области роли.If you want to keep the same recipient filter-based scope that's applied to the role assignment but change the recipient filter used to match recipient objects, you need to change the recipient filter on the scope itself. For more information about how to change scopes, see Change a role scope.

Дополнительные сведения о синтаксисе и параметрах см. в разделе Set-ManagementRoleAssignment.For detailed syntax and parameter information, see Set-ManagementRoleAssignment.

Использование командной консоли для изменения фильтра сервера или области конфигурации списка для назначения ролиUse the Shell to change the server filter or list-based configuration scope on a role assignment

Можно изменить область, которая уже применена к назначению роли, или указать новый фильтр сервера либо область конфигурации списка. При добавлении или изменении области конфигурации ранее указанные области конфигурации удаляются из назначения роли.You can either specify a new server filter or list-based configuration scope, or change the scope that's already applied to the role assignment. If you add or change the configuration scope, any previously specified configuration scopes are removed from the role assignment.

Чтобы указать новую область конфигурации или заменить существующую, используйте следующую синтаксическую конструкцию.To specify a new configuration scope or replace an existing one, use the following syntax.

Set-ManagementRoleAssignment <assignment name> -CustomConfigWriteScope <role scope name>

В этом примере выполняется добавление или изменение области конфигурации на "Серверы Редмонда".This example adds or changes the configuration scope to Redmond Servers.

    Set-ManagementRoleAssignment "Redmond Administrators Assignment" -CustomConfigWriteScope "Redmond Servers"

Чтобы сохранить используемую область конфигурации, которая применена к назначению роли, и изменить фильтр сервера или список серверов в области, необходимо изменить саму область конфигурации. Дополнительные сведения об изменении областей см. в разделе Изменение области роли.If you want to keep the same configuration scope that's applied to the role assignment but change the server filter or server list on the scope, you need to change the configuration scope itself. For more information about how to change scopes, see Change a role scope.

Дополнительные сведения о синтаксисе и параметрах см. в разделе Set-ManagementRoleAssignment.For detailed syntax and parameter information, see Set-ManagementRoleAssignment.

Использование командной консоли для изменения фильтра базы данных или области конфигурации списка для назначения ролиUse the Shell to change the database filter or list-based configuration scope on a role assignment

Можно указать новый фильтр базы данных или область конфигурации списка либо изменить область, которая уже применена к назначению роли. При добавлении или изменении области конфигурации ранее указанные области конфигурации удаляются из назначения роли.You can either specify a new database filter or list-based configuration scope, or change the scope that's already applied to the role assignment. If you add or change the configuration scope, any previously specified configuration scopes are removed from the role assignment.

Чтобы указать новую область конфигурации или заменить существующую, используйте следующую синтаксическую конструкцию.To specify a new configuration scope or replace an existing one, use the following syntax.

Set-ManagementRoleAssignment <assignment name> -CustomConfigWriteScope <role scope name>

В этом примере выполняется добавление или изменение области конфигурации на Redmond Databases (Базы данных Редмонда).This example adds or changes the configuration scope to Redmond Databases.

Set-ManagementRoleAssignment "Redmond Database Admins" -CustomConfigWriteScope "Redmond Databases"

Чтобы сохранить используемую область конфигурации, которая применена к назначению роли, и изменить фильтр базы данных или список баз данных в области, необходимо изменить саму область конфигурации. Дополнительные сведения об изменении областей см. в разделе Изменение области роли.If you want to keep the same configuration scope that's applied to the role assignment but change the database filter or database list on the scope, you need to change the configuration scope itself. For more information about how to change scopes, see Change a role scope.

Дополнительные сведения о синтаксисе и параметрах см. в разделе Set-ManagementRoleAssignment.For detailed syntax and parameter information, see Set-ManagementRoleAssignment.

Использование командной консоли для изменения подразделения для назначения ролиUse the Shell to change the organizational unit on a role assignment

Можно добавить новое подразделение или изменить то подразделение, которое уже применено к назначению роли. При указании нового подразделения ранее определенные области получателей удаляются из назначения роли.You can either add a new OU or change an OU that's already applied to the role assignment. If you specify a new OU, any previously specified recipient scopes are removed from the role assignment.

Для изменения или добавления нового подразделения для назначения роли используйте следующую синтаксическую конструкцию.To change or add a new OU on a role assignment, use the following syntax.

Set-ManagementRoleAssignment <assignment name> -RecipientOrganizationalUnitScope <OU>

В этом примере добавляется Engineering\Подразделении пользователя в домене contoso.com для назначения роли инженерной поддержки.This example adds the Engineering\Users OU in the contoso.com domain to the Engineering Help Desk role assignment.

    Set-ManagementRoleAssignment "Engineering Help Desk" -RecipientOrganizationalUnitScope contoso.com/Engineering/Users

Дополнительные сведения о синтаксисе и параметрах см. в разделе Set-ManagementRoleAssignment.For detailed syntax and parameter information, see Set-ManagementRoleAssignment.

Использование командной консоли для изменения исключительной области получателей или области конфигурацииUse the Shell to change an exclusive recipient or configuration scope

Для изменения исключительных областей получателей или конфигурации используются процедуры, описанные в разделах выше: "Использование командной консоли для изменения области фильтра получателей для назначения роли", "Использование командной консоли для изменения фильтра сервера или области конфигурации списка для назначения роли" и "Использование командной консоли для изменения фильтра базы данных или области конфигурации списка для назначения роли". Существует только одно различие. При изменении исключительной области в зависимости от того, выполняется ли изменение исключительной области получателей или исключительной области конфигурации, необходимо указать следующие исключительные параметры:To change exclusive recipient or exclusive configuration scopes, you can use the procedures provided in the "Use the Shell to change a recipient filter scope on a role assignment," "Use the Shell to change the server filter or list-based configuration scope on a role assignment," and "Use the Shell to change the database filter or list-based configuration scope on a role assignment" sections earlier in this topic. The only difference is that when you change an exclusive scope, you must specify the following exclusive parameters depending on whether you're changing an exclusive recipient scope or an exclusive configuration scope:

  • Исключительные области получателей   Используйте параметр ExclusiveRecipientWriteScope вместо параметра CustomRecipientWriteScope.Exclusive recipient scopes Use the ExclusiveRecipientWriteScope parameter instead of the CustomRecipientWriteScope parameter.

  • Исключительных сервера и базы данных конфигурации области Используйте параметр ExclusiveConfigWriteScope вместо параметр CustomConfigWriteScope .Exclusive server and database configuration scopes Use the ExclusiveConfigWriteScope parameter instead of the CustomConfigWriteScope parameter.

Как и в случае со стандартными областями получателей и конфигурации, при добавлении или изменении исключительной области выполняется замена ранее определенных областей получателей или конфигурации.As with regular recipient and configuration scopes, if you add or change an exclusive scope, any previously defined recipient or configuration scopes are replaced.

В этом примере выполняется изменение исключительной области записи получателей.This example changes an exclusive recipient write scope.

    Set-ManagementRoleAssignment "Exclusive Executive Users" -ExclusiveRecipientWriteScope "Exclusive Executives"

Дополнительные сведения о синтаксисе и параметрах см. в разделе Set-ManagementRoleAssignment.For detailed syntax and parameter information, see Set-ManagementRoleAssignment.