Создание группы связанных ролей, которые зеркально встроенные группы ролейCreate linked role groups that mirror built-in role groups

Применимо к: Exchange Server 2013Applies to: Exchange Server 2013

При использовании связанных групп ролей управления в Microsoft Exchange Server 2013 можно связать группу ролей в лесу ресурсов Exchange 2013 с универсальной группой безопасности во внешнем лесу пользователя. Это полезно при необходимости, чтобы администраторы с учетными записями в лесу пользователя управляли серверами под управлением Exchange в лесу ресурсов. Дополнительные сведения о связанных группах ролей см. в разделе Общие сведения о группах ролей управления.Using linked management role groups in Microsoft Exchange Server 2013, you can link a role group in an Exchange 2013 resource forest with a universal security group (USG) in a foreign user forest. This is useful when you want administrators with accounts in the user forest to manage the servers running Exchange in the resource forest. For more information about linked role groups, see Understanding management role groups.

По умолчанию Exchange 2013 включает в себя несколько встроенных групп ролей, предоставляющих разрешения для управления множеством функций и должностных обязанностей. Каждая группа ролей настроена на предоставление определенных разрешений для каждой функции и должностной обязанности. Однако эти группы ролей могут быть связаны с универсальными группами безопасности во внешнем лесу. Они могут содержать только пользователей и универсальные группы безопасности из леса локальных ресурсов. Однако эти встроенные группы ролей возможно реплицировать с помощью связанных групп ролей.By default, Exchange 2013 includes a number of built-in role groups that provide you with permissions to manage a variety of features and job functions. Each role group is tailored to provide specific permissions for each feature and job function. However, these role groups can't be linked to USGs in a foreign forest. They can only contain users and USGs from the local resource forest. Fortunately, it's possible to replicate these built-in role groups using linked role groups.

Можно заново создать каждую встроенную группу ролей как связанную группу ролей. Все роли и области управления, назначенные каждой группе ролей добавляются к новой связанной группе ролей. Дополнительные сведения о ролях и областях управления см. в следующих разделах:You can re-create each built-in role group as a linked role group. All of the management roles and management scopes assigned to each role group are added to the new linked role group. For more information about management roles and scopes, see the following topics:

Необходимы сведения о других задачах управления, связанных с группами ролей? см. в разделе Разрешения.Looking for other management tasks related to role groups? Check out Permissions.

Что нужно знать перед началом работыWhat do you need to know before you begin?

  • Предполагаемое время для завершения каждой процедуры: 10 минутEstimated time to complete each procedure: 10 minutes

  • Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в статье Запись "Группы ролей" в разделе Разрешения управления ролями.You need to be assigned permissions before you can perform this procedure or procedures. To see what permissions you need, see the "Role groups" entry in the Role management permissions topic.

  • Для выполнения этих процедур необходимо использовать командную консоль Exchange.You must use the Shell to perform these procedures.

  • Для настройки связанной группы ролей необходимо одностороннее доверие между лесом ресурсов Active Directory, в котором находится связанная группа ролей и внешним лесом Active Directory, в котором находятся пользователи или универсальные группы безопасности. Лес ресурсов должен иметь отношения доверия с внешним лесом.Configuring a linked role group requires a one-way trust between the resource Active Directory forest in which the linked role group will reside, and the foreign Active Directory forest where the users or USGs reside. The resource forest must trust the foreign forest.

  • Необходимо иметь следующие сведения о внешнем лесе Active Directory:You must have the following information about the foreign Active Directory forest:

    • Учетные данные Необходимо иметь имя пользователя и пароль, который можно получить доступ к внешний лес Active Directory. Эта информация используется совместно с параметром LinkedCredential с параметрами командлета New-RoleGroup . Эти сведения получены с помощью командлета Get-Credential . Формат имени пользователя — это домен\имя пользователя.Credentials You must have a user name and password that can access the foreign Active Directory forest. This information is used with the LinkedCredential parameter on the New-RoleGroup cmdlet. This information is obtained by running the Get-Credential cmdlet. The format of the user name is domain\username.

    • Контроллер домена Необходимо иметь полное доменное имя (FQDN) контроллера домена Active Directory в другом лесу Active Directory. Эта информация используется совместно с параметром LinkedDomainController с параметрами командлета New-RoleGroup .Domain controller You must have the fully qualified domain name (FQDN) of an Active Directory domain controller in the foreign Active Directory forest. This information is used with the LinkedDomainController parameter on the New-RoleGroup cmdlet.

    • Внешней универсальной группы безопасности Необходимо иметь полное имя универсальной группы безопасности в другом лесу Active Directory, которая содержит элементы, которые необходимо связать с связанная группа ролей. Эта информация используется совместно с параметром LinkedForeignGroup с параметрами командлета New-RoleGroup .Foreign USG You must have the full name of a USG in the foreign Active Directory forest that contains the members you want to associate with the linked role group. This information is used with the LinkedForeignGroup parameter on the New-RoleGroup cmdlet.

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts in the Exchange admin center.

Совет

Возникли проблемы? Обращение за помощью в форумах Exchange. Посетите форумы Exchange Server, Exchange Onlineили Exchange Online Protection.Having problems? Ask for help in the Exchange forums. Visit the forums at Exchange Server, Exchange Online, or Exchange Online Protection.

Использование командной консоли для создания связанных групп ролей, реплицирующих встроенные группы ролейUse the Shell to create linked role groups that replicate built-in role groups

В каждом из следующих разделов показано, как создать заново каждую группу ролей как связанную группу ролей. Следуйте инструкциям в каждом разделе для повторного создания всех встроенных групп ролей как связанных групп ролей.Each of the following sections shows you how to re-create each role group as a linked role group. Complete the procedures in each section to re-create all of the built-in role groups as linked role groups.

Создание связанной группы ролей управления организациейCreate the Organization Management linked role group

Процесс повторного создания группы ролей Управление организацией как связанной группы отличается от процесса повторного создания других встроенных групп ролей. Это связано с тем, что группа ролей Управление организацией имеет назначения ролей делегирования между самой группой и всеми ролями управления. Для повторного создания назначений ролей делегирования требуется дополнительный шаг.To re-create the Organization Management role group as a linked role group, you perform a procedure that's different than the procedure used to re-create other built-in role groups. This is because the Organization Management role group has delegating role assignments between it and all of the management roles. Re-creating the delegating role assignments requires an additional step.

  1. Создайте универсальную группу безопасности во внешнем лесу, которая будет связана с группой ролей Управление организацией.Create a USG in the foreign forest that will be linked to the Organization Management role group.

  2. Сохраните учетные данные внешнего леса Active Directory в переменной.Store the foreign Active Directory forest credentials in a variable.

    $ForeignCredential = Get-Credential
    
  3. Сохраните все роли, назначенные группе ролей Управление организацией в переменной.Store all of the roles assigned to the Organization Management role group in a variable.

    $OrgMgmt  = Get-RoleGroup "Organization Management"
    
  4. Создайте связанную группу ролей Управление организацией и добавьте роли, назначенные встроенной группе ролей Управление организацией.Create the Organization Management linked role group and add the roles assigned to the built-in Organization Management role group.

    New-RoleGroup "Organization Management - Linked" -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -Roles $OrgMgmt.Roles
    
  5. Удаление всех регулярных назначений между в новую группу связанных ролей управления организацией и Мои* роли конечных пользователей.Remove all of the regular assignments between the new Organization Management linked role group and the My* end-user roles.

    Get-ManagementRoleAssignment -RoleAssignee "Organization Management - Linked" -Role My* | Remove-ManagementRoleAssignment
    
  6. Добавьте назначения ролей делегирования между новой связанной группой ролей Управление организацией и всеми ролями управления.Add delegating role assignments between the new Organization Management linked role group and all management roles.

    Get-ManagementRole | New-ManagementRoleAssignment -SecurityGroup "Organization Management - Linked" -Delegating
    

В этом примере предполагается, что для каждого параметра используются следующие значения:This example assumes the following values are used for each parameter:

  • Параметры LinkedForeignGroup Organization Management AdministratorsLinkedForeignGroup Organization Management Administrators

  • LinkedDomainController DC01.users.contoso.comLinkedDomainController DC01.users.contoso.com

В этом примере группа ролей Управление организацией создается заново как связанная группа ролей с помощью значений, полученных в предыдущем шаге.Using the preceding values, this example re-creates the Organization Management role group as a linked role group.

$ForeignCredential = Get-Credential
$OrgMgmt  = Get-RoleGroup "Organization Management"
New-RoleGroup "Organization Management - Linked" -LinkedForeignGroup "Organization Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $OrgMgmt.Roles
Get-ManagementRoleAssignment -RoleAssignee "Organization Management - Linked" -Role My* | Remove-ManagementRoleAssignment
Get-ManagementRole | New-ManagementRoleAssignment -SecurityGroup "Organization Management - Linked" -Delegating

Создание других связанных групп ролейCreate all other linked role groups

Чтобы заново создать встроенные группы ролей (отличные от группы ролей Управление организацией) в качестве связанных групп ролей, используйте следующую процедуру для каждой группы.To re-create the built-in role groups (other than the Organization Management role group) as linked role groups, use the following procedure for each group.

  1. Создайте универсальную группу безопасности во внешнем лесу для каждой группы ролей, которая будет связана с каждой новой группой ролей.Create a USG in the foreign forest for each role group that will be linked to each new role group.

  2. Сохраните учетные данные внешнего леса Active Directory в переменной. Это необходимо сделать только один раз.Store the foreign Active Directory forest credentials in a variable. You only need to do this once.

$ForeignCredential = Get-Credential
  1. Получите список групп ролей, используя следующий командлет.Retrieve a list of role groups using the following cmdlet.
Get-RoleGroup
  1. Для каждой группы ролей, отличной от группы ролей Управление организацией, выполните следующие действия.For each role group, other than the Organization Management role group, do the following.
$RoleGroup = Get-RoleGroup <name of role group to re-create>
New-RoleGroup "<role group name> - Linked" -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles
  1. Повторите предыдущий шаг для каждой встроенной группы ролей, которую необходимо создать заново в качестве связанной группы ролей.Repeat the preceding step for each built-in role group you want to re-create as a linked role group.

В этом примере предполагается, что для каждого параметра используются следующие значения:This example assumes the following values are used for each parameter:

  • LinkedDomainController DC01.users.contoso.comLinkedDomainController DC01.users.contoso.com

  • Встроенные группы ролей заново создать как группы связанных ролей Recipient Management, Server ManagementBuilt-in role groups to be re-created as linked role groups Recipient Management, Server Management

  • Внешний группы для управления получателя связанная группа ролей Recipient Management AdministratorsForeign group for Recipient Management linked role group Recipient Management Administrators

  • Внешний группы для управления серверами связанная группа ролей Server Management AdministratorsForeign group for Server Management linked role group Server Management Administrators

В этом примере Управление получателями и группы ролей управления сервером создаются заново как связанные группы ролей с помощью значений, полученных в предыдущем шаге.Using the preceding values, this example re-creates the Recipient Management and Server Management role groups as linked role groups.

$ForeignCredential = Get-Credential
Get-RoleGroup
$RoleGroup = Get-RoleGroup "Recipient Management"
New-RoleGroup "Recipient Management - Linked" -LinkedForeignGroup "Recipient Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles
$RoleGroup = Get-RoleGroup "Server Management"
New-RoleGroup "Server Management - Linked" -LinkedForeignGroup "Server Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles

Другие задачиOther tasks

После создания связанных групп ролей можно выполнить другие действия:After you create linked role groups, you may also want to:

Добавить участников во внешние универсальные группы безопасности с помощью Active Directory "Пользователи и компьютеры" во внешнем лесу.Add members to the foreign USGs using Active Directory Users and Computers in the foreign forest.

Удалить участников встроенных групп ролей. Дополнительные сведения см. в разделе Управление участниками группы ролей.Remove members of built-in role groups. For more information, see Manage role group members.

Добавление, удаление или изменение области ролей в новых связанных группах ролей. Дополнительные сведения см. в разделе Управление группами ролей.Add, remove, or change the scope of roles on the new linked role groups. For more information, see Manage role groups.

Создать дополнительные связанные группы ролей. Дополнительные сведения см. в разделе Управление группами связанных ролей.Create additional linked role groups. For more information, see Manage linked role groups.