Создание роли с незаданной областьюCreate an unscoped role

Применимо к: Exchange Server 2013Applies to: Exchange Server 2013

Роль управления с незаданной областью можно использовать для предоставления администраторам и специалистам доступа к сценариям Windows PowerShell и командлетам, не относящимся к серверу Exchange. Можно создать роль верхнего уровня с незаданной областью и добавить к ней сценарии или командлеты, не относящиеся к серверу Exchange. Или можно создать роль на основе существующей роли верхнего уровня с незаданной областью. После создания и настройки роли с незаданной областью эту роль можно назначить для групп ролей управления, пользователей и универсальных групп безопасности. Роли с незаданной областью невозможно назначить для политик назначения роли управления. Дополнительные сведения о ролях с незаданной областью см. в разделе Общие сведения о ролях управления.An unscoped management role can be used to provide administrators and specialist users access to Windows PowerShell scripts and non-Exchange cmdlets. You can either create an unscoped top-level role and add scripts or non-Exchange cmdlets to that role, or create a role that's based on an existing, unscoped top-level role. After an unscoped role has been created and customized, the role can be assigned to management role groups, users, and universal security groups (USGs). Unscoped roles can't be assigned to management role assignment policies. For more information about unscoped roles, see Understanding management roles.

Предупреждение

Роли с незаданной областью являются полнофункциональными, поскольку к ним не применяются области управления. Это значит, что содержащиеся в них сценарии и командлеты, не относящиеся к серверу Exchange, могут выполняться для любого объекта в организации Exchange. Это необходимо учитывать при добавлении сценариев или командлетов, не относящихся к серверу Exchange, в роль с незаданной областью и при назначении роли с незаданной областью.Unscoped roles can be powerful because, as their name implies, no management scopes are applied to them. This means that the scripts and non-Exchange cmdlets that they contain can be run against any object in your Exchange organization. Consider this when adding scripts or non-Exchange cmdlets to an unscoped role and when assigning the unscoped role.

Примечание

Чтобы создать роль, содержащую командлеты Exchange, необходимо создать роль на основе существующей роли управления. Дополнительные сведения о создании ролей с командлетами Exchange см. в разделе Создание роли.If you want to create a role that contains Exchange cmdlets, you must create a role that's based on an existing management role. For more information about creating roles with Exchange cmdlets, see Create a role.

Необходимы сведения о других задачах управления, связанных с ролями? см. в разделе Дополнительные разрешения.Looking for other management tasks related to roles? Check out Advanced permissions.

Что нужно знать перед началом работыWhat do you need to know before you begin?

  • Предполагаемое время для завершения каждой процедуры: 5 минутEstimated time to complete each procedure: 5 minutes

  • Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в статье Запись "Роли управления" в разделе Разрешения управления ролями.You need to be assigned permissions before you can perform this procedure or procedures. To see what permissions you need, see the "Management roles" entry in the Role management permissions topic.

  • Для выполнения этих процедур необходимо использовать командную консоль Exchange.You must use the Shell to perform these procedures.

  • По умолчанию возможность создания ролей с незаданной областью не предусмотрена ни для одной из групп ролей управления. Сначала необходимо назначить роль управления с незаданной областью для пользователя, универсальной группы безопасности или группы ролей, в которой состоит пользователь, после чего у пользователя появится возможность создавать группы ролей. Дополнительные сведения о добавлении роли пользователю, универсальной группе безопасности (USG) или группе ролей см. в следующих разделах:The ability to create unscoped roles isn't included in any management role group by default. You must first assign the Unscoped Role Management role to a user, or to a USG or role group of which the user is a member, before the user is able to create a role group. For more information about adding a role to a user, USG, or role group, see the following topics:

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts in the Exchange admin center.

Совет

Возникли проблемы? Обращение за помощью в форумах Exchange. Посетите форумы Exchange Server, Exchange Onlineили Exchange Online Protection.Having problems? Ask for help in the Exchange forums. Visit the forums at Exchange Server, Exchange Online, or Exchange Online Protection.

Что необходимо сделать?What do you want to do?

Создание роли управления верхнего уровня с незаданной областьюCreate an unscoped top-level management role

Чтобы открыть доступ к сценариям или командлетам, не относящимся к серверу Exchange, для администраторов или специалистов в организации, необходимо создать роль верхнего уровня с незаданной областью. Сценарии и командлеты, не относящиеся к серверу Exchange, можно добавить только к роли верхнего уровня с незаданной областью, поскольку исходная роль с незаданной областью не наследует параметры других ролей. В этом случае новая роль верхнего уровня с незаданной областью может быть родительской ролью для других ролей с незаданной областью, которые также могут использовать добавленные сценарии и командлеты, не относящиеся к серверу Exchange.If you want to make scripts or non-Exchange cmdlets available to administrators or specialists in your organization, you need to create an unscoped top-level role. Scripts and non-Exchange cmdlets can only be added to an unscoped role that's created as a top-level role, because the initial unscoped role doesn't inherit from other roles. The new, unscoped top-level role can then be a parent to other unscoped roles that can also use the added scripts and non-Exchange cmdlets.

Далее приведены шаги для создания роли верхнего уровня с незаданной областью.Here are the steps to create an unscoped top-level role:

Действие 1. Создание роли верхнего уровня с незаданной областьюStep 1: Create the unscoped top-level role

Роли верхнего уровня с незаданной областью не имеют родительской роли. Чтобы создать роль без родительской роли, необходимо указать параметр UnscopedTopLevel. Для создания новой роли используйте следующий синтаксис.Unscoped top-level roles don't have a parent role. You need to specify the UnscopedTopLevel switch to create a role without a parent. Use the following syntax to create the new role.

New-ManagementRole <name of new role> -UnscopedTopLevel

В этом примере создается роль верхнего уровня с незаданной областью "ИТ-сценарии".This example creates the IT Scripts unscoped top-level role.

New-ManagementRole "IT Scripts" -UnscopedTopLevel

После создания роль будет пустой до добавления в нее сценариев или командлетов, не относящихся к серверу Exchange.After it's created, the role is empty until you add scripts or non-Exchange cmdlets to it.

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRole.For detailed syntax and parameter information, see New-ManagementRole.

Шаг 2а. Добавление записей сценария ролей управленияStep 2a: Add script management role entries

Если вы хотите добавить сценарий новой роли с незаданной областью, используйте это действие. Если вы хотите добавить новые роли с незаданной областью командлет не Exchange, используйте шаг 2б.If you want to add a script to the new unscoped role, use this step. If you want to add a non-Exchange cmdlet to the new unscoped role, use Step 2b.

Чтобы добавить сценарий Windows PowerShell роли верхнего уровня с незаданной областью, необходимо добавить роли запись роли управления. Запись роли содержит имя сценария и параметры сценария, которые необходимо сделать доступными для этой роли.To add a Windows PowerShell script to an unscoped top-level role, you must add a management role entry to the role. The role entry contains the script's name and the parameters on the script that you want to make available to the role.

Сценарий должен располагаться во RemoteScripts каталога в каталоге установки Microsoft Exchange Server 2013 на всех серверах под управлением Exchange 2013, где пользователи могут подключаться к выполните скрипт. Если пользователь имеет права на выполнение скрипта, но он не находится на сервере Exchange 2013 пользователь подключается к, возникает ошибка. По умолчанию путь к RemoteScripts каталог — это C:\Program Files\Microsoft\Exchange Server\V15\RemoteScripts.The script must reside in the RemoteScripts directory in the Microsoft Exchange Server 2013 installation path on every server running Exchange 2013 where users might connect to run the script. If a user has access to run a script, but the script isn't located on the Exchange 2013 server the user is connected to, an error occurs. By default, the path to the RemoteScripts directory is C:\Program Files\Microsoft\Exchange Server\V15\RemoteScripts.

После того, как сценарий скопирован на соответствующие серверы Exchange 2013 и было решено, какие параметры сценария необходимо использовать, создайте запись роли, используя следующий синтаксис.After you copy the script to the appropriate Exchange 2013 servers and you decide what script parameters should be used, create the role entry using the following syntax.

    Add-ManagementRoleEntry <unscoped top-level role name>\<script filename> -Parameters <parameter 1, parameter 2, parameter...> -Type Script -UnscopedTopLevel

В этом примере добавляется сценарий BulkProvisionUsers.ps1 к роли IT Scripts с параметрами имя и расположение .This example adds the BulkProvisionUsers.ps1 script to the IT Scripts role with the Name and Location parameters.

    Add-ManagementRoleEntry "IT Scripts\BulkProvisionUsers.ps1" -Parameters Name, Location -Type Script -UnscopedTopLevel

Примечание

Командлет Add-ManagementRoleEntry выполняет стандартную проверку, чтобы убедиться, что добавлены только те параметры, которые существуют в сценарии. Но после добавления записи роли никакой дальнейшей проверки не следует. При добавлении или удалении параметров позже необходимо вручную обновлять записи роли, которые содержат сценарий.The Add-ManagementRoleEntry cmdlet performs basic validation to make sure that you add only the parameters that exist in the script. However, no further validation is done after the role entry is added. If parameters are later added or removed, you must manually update the role entries that contain the script.

Шаг 2б. Добавление записей роли командлета, не относящегося к серверу ExchangeStep 2b: Add non-Exchange cmdlet role entries

Если вы хотите добавить новые роли с незаданной областью командлет не Exchange, используйте это действие. Если вы хотите добавить сценарий новой роли с незаданной областью, используйте шаге 2a.If you want to add a non-Exchange cmdlet to the new unscoped role, use this step. If you want to add a script to the new unscoped role, use Step 2a.

Чтобы добавить командлет, отличный от Exchange, к роли верхнего уровня с незаданной областью, необходимо добавить роли запись роли управления. Запись роли содержит оснастку командлета, имя командлета и параметры командлета, которые необходимо сделать доступными для этой роли.To add a non-Exchange cmdlet to an unscoped top-level role, you must add a management role entry to the role. The role entry contains the cmdlet snap-in, cmdlet name, and the parameters on the cmdlet that you want to make available to the role.

При добавлении командлетов, отличных от Exchange, в новую роль, командлеты должны быть установлены на каждом сервере Exchange 2013, к которым будут подключаться пользователи для выполнения командлетов. Сведения о том, как правильно установить и зарегистрировать оснастки Windows PowerShell, содержащие необходимые командлеты, см. в документации к продукту.If you add non-Exchange cmdlets to the new role, the cmdlets must be installed on every Exchange 2013 server where users might connect to run the cmdlets. To learn how to properly install and register the Windows PowerShell snap-ins that contain the cmdlets you want to use, refer to the documentation for your product.

После установки оснастки Windows PowerShell, которая содержит командлеты на соответствующих серверах Exchange 2013, и выбора необходимых параметров командлета создайте запись роли, используя следующий синтаксис.After you install the Windows PowerShell snap-in that contains the cmdlets on the appropriate Exchange 2013 servers and you decide what cmdlet parameters should be used, create the role entry using the following syntax.

    Add-ManagementRoleEntry <unscoped top-level role name>\<cmdlet name> -PSSnapinName <snap-in name> -Parameters <parameter 1, parameter 2, parameter...> -Type Cmdlet -UnscopedTopLevel

В этом примере добавляется командлет Set-WidgetConfiguration в оснастке Contoso.Admin.cmdlets для роли Widget Cmdlets с параметрами базы данных и размера .This example adds the Set-WidgetConfiguration cmdlet in the Contoso.Admin.Cmdlets snap-in to the Widget Cmdlets role with the Database and Size parameters.

    Add-ManagementRoleEntry "Widget Cmdlets\Set-WidgetConfiguration" -PSSnapinName Contoso.Admin.Cmdlets -Parameters Database, Size -Type Cmdlet -UnscopedTopLevel

Примечание

Командлет Add-ManagementRoleEntry выполняет стандартную проверку, чтобы убедиться, что добавлены только те параметры, которые существуют в командлете. Но после добавления записи роли никакой дальнейшей проверки не следует. Если командлет изменен позже и, соответственно, параметры позже добавлены или удалены, необходимо вручную обновить записи роли, которые содержат командлет.The Add-ManagementRoleEntry cmdlet performs basic validation to make sure that you add only the parameters that exist in the cmdlet. However, no further validation is done after the role entry is added. If the cmdlet is later changed, and parameters are added or removed, you must manually update the role entries that contain the cmdlet.

Действие 3. Назначение роли управленияStep 3: Assign the management role

Последним шагом при создании и настройке роли является ее назначение уполномоченному роли.The final step when you create and configure a role is to assign it to a role assignee.

Важно!

Области управления невозможно настроить для назначений ролей, которые назначают роль с незаданной областью. При выборе создания назначения роли для группы ролей, пользователя или универсальной группы безопасности необходимо выбрать параметр для создания назначения роли без области управления.Management scopes can't be configured on role assignments that assign an unscoped role. Whether you choose to create a role assignment for a role group, user, or USG, you must choose the option to create a role assignment without a management scope.

Можно назначить новую роль группе ролей, пользователю или универсальной группе безопасности. Дополнительные сведения приведены в следующих разделах:You can assign the new role to a role group, user, or USG. For more information, see the following topics:

Создание роли с незаданной областью на основе другой роли с незаданной областьюCreate an unscoped role based on another unscoped role

При наличии роли верхнего уровня или других ролей с незаданной областью на их основе можно создать новые дочерние роли с незаданной областью. Эти дочерние роли с незаданной областью могут содержать подмножество сценариев и командлетов, существующих в родительских ролях с незаданной областью. Это полезно, например, при необходимости передать менее опытному администратору только подмножество сценариев или командлетов, доступных в родительской роли с незаданной областью.If you have an existing, unscoped top-level role or other unscoped roles that you want to base new unscoped roles on, you can create child unscoped roles. The child unscoped roles can contain a subset of the scripts and cmdlets that exist on the parent unscoped roles. This is useful, for example, if you want to give only a subset of the scripts or cmdlets available on a parent unscoped role to a less experienced administrator.

Далее приведены шаги для создания дочерней роли с незаданной областью.Here are the steps to create an unscoped child role:

Действие 1. Создание дочерней роли с незаданной областьюStep 1: Create the unscoped child role

Новые дочерние роли с незаданной областью могут быть основаны на существующих ролях с незаданной областью. При создании роли существующая роль и ее записи роли управления копируются в новую роль. Существующая роль становится родительской для новой дочерней роли. При создании роли с незаданной областью на основе другой роли с незаданной областью, необходимо выбрать роль, которая содержит все необходимые командлеты и параметры, а затем удалить ненужные параметры. Дочерние роли с незаданной областью не могут содержать записи роли управления, которые отсутствуют в родительской роли.New, unscoped child roles can be based on existing unscoped roles. When you create a role, an existing role and its management role entries are copied to the new role. The existing role becomes the parent to the new child role. If you create an unscoped role that's based on another unscoped role, you must choose a role that contains all the cmdlets and parameters you need to use, and then remove the ones you don't want. Child unscoped roles can't have management role entries that don’t exist in the parent role.

Примечание

Чтобы создать роль с незаданной областью, которая будет содержать сценарии и командлеты, не относящиеся к серверу Exchange, отсутствующие в любой другой роли с незаданной областью, необходимо создать роль верхнего уровня с незаданной областью. Дополнительные сведения см. в подразделе Создание роли управления верхнего уровня с незаданной областью выше в этом разделе.If you need to create an unscoped role that contains scripts or non-Exchange cmdlets that don't exist in any other unscoped role, create an unscoped top-level role. For more information, see Create an unscoped top-level management role earlier in this topic.

Для создания новой роли используйте следующий синтаксис.Use the following syntax to create the new role.

    New-ManagementRole -Parent <existing unscoped role to copy> -Name <name of new unscoped role>

В этом примере копируется роль "Глобальные ИТ-сценарии" и ее записи роли управления в роль "Диагностические ИТ-сценарии".This example copies the IT Global Scripts role and its management role entries to the Diagnostic IT Scripts role.

New-ManagementRole -Parent "IT Global Scripts" -Name "Diagnostic IT Scripts"

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRole.For detailed syntax and parameter information, see New-ManagementRole.

Действие 2. Изменение записей роли управления определенной ролиStep 2: Change the role's management role entries

После создания роли необходимо изменить записи роли. Можно полностью удалить запись роли, в результате чего будет окончательно закрыт доступ к связанному сценарию и командлету, не относящемуся к серверу Exchange. Или можно удалить параметры из записи роли, что позволит закрыть доступ к определенным параметрам связанного сценария или командлета, не относящегося к серверу Exchange.After you create your role, you need to change the role's entries. You can remove an entire role entry, which removes access to the associated script or non-Exchange cmdlet completely. Or, you can remove parameters from a role entry to remove access to those specific parameters on the associated script or non-Exchange cmdlet.

Невозможно добавить записи роли или их параметры, если они не существуют в родительской роли. Так как в первом шаге была создана роль из родительской роли, невозможно добавлять дополнительные записи роли или параметры записей, потому что они не существуют в родительской роли.You can't add role entries or parameters on role entries unless they exist in the parent role. Because you just created a role from a parent role in Step 1, you can't add any additional role entries or parameters on role entries because they don't exist in the parent role.

При изменении записи роли можно выполнить одно из следующих действий:When you change a role entry on a role, you can do one of the following:

  • Удалить полностью одну запись роли.Remove a single, entire role entry.

  • Удалить полностью несколько записей роли.Remove multiple, entire role entries.

  • Удалить параметры из записи роли.Remove parameters from a role entry.

Инструкции по удалению записи роли из новой роли см. в разделе Удаление записи роли из роли.To remove role entries from your new role, see Remove a role entry from a role.

Действие 3. Назначение роли управленияStep 3: Assign the management role

Последним шагом при создании и настройке роли является ее назначение уполномоченному роли.The final step when you create and configure a role is to assign it to a role assignee.

Важно!

Области управления невозможно настроить для назначений ролей, которые назначают роль с незаданной областью. При выборе создания назначения роли для группы ролей, пользователя или универсальной группы безопасности необходимо выбрать параметр для создания назначения роли без области управления.Management scopes can't be configured on role assignments that assign an unscoped role. Whether you choose to create a role assignment for a role group, user, or USG, you must choose the option to create a role assignment without a management scope.

Можно назначить новую роль группе ролей, пользователю или универсальной группе безопасности. Дополнительные сведения приведены в следующих разделах:You can assign the new role to a role group, user, or USG. For more information, see the following topics: