Управление группами связанных ролейManage linked role groups

Применимо к: Exchange Server 2013Applies to: Exchange Server 2013

Чтобы разрешить участникам универсальной группы безопасности (USG) можно использовать группы ролей управления связанного внешнего леса Active Directory для управления организации Microsoft Exchange Server 2013 в ресурсов леса Active Directory. Связывая универсальной группы безопасности в внешнего леса со связанной группой ролей, при члены, универсальной группы безопасности предоставляются разрешения, предоставленные роли управления, назначенные связанная группа ролей. Дополнительные сведения о группах связанных ролей можно Общее представление о группах ролей управления.You can use a linked management role group to enable members of a universal security group (USG) in a foreign Active Directory forest to manage a Microsoft Exchange Server 2013 organization in a resource Active Directory forest. By associating a USG in a foreign forest with a linked role group, the members of that USG are granted the permissions provided by the management roles assigned to the linked role group. For more information about linked role groups, see Understanding management role groups.

Создание и Настройка групп связанных ролей, необходимо использовать командлеты New-RoleGroup и Set-RoleGroup . Подробный синтаксис и сведений о параметрах содержатся в следующих разделах:To create and configure linked role groups, you need to use the New-RoleGroup and Set-RoleGroup cmdlets. For detailed syntax and parameter information, see the following topics:

Дополнительные сведения о задачах управления, связанных с группами ролей, см. в разделе Разрешения.For additional management tasks related to role groups, see Permissions.

Что нужно знать перед началом работы?What do you need to know before you begin?

  • Предполагаемое время для завершения каждой процедуры: от 5 до 10 минутEstimated time to complete each procedure: 5 to 10 minutes

  • Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в статье Запись «Группы ролей» в разделе Разрешения управления ролями.You need to be assigned permissions before you can perform this procedure or procedures. To see what permissions you need, see the "Role groups" entry in the Role management permissions topic.

  • Нельзя использовать Центр администрирования Exchange (EAC) для создания или настройки групп связанных ролей. Необходимо использовать консоль управления Exchange.You can’t use the Exchange Administration Center (EAC) to create or configure linked role groups. You must use the Exchange Management Shell.

  • Как минимум для настройки связанной группой ролей требуется установлено, что одностороннее отношение доверия между ресурсов леса Active Directory, в котором будет находиться связанная группа ролей и внешний лес Active Directory, где находятся пользователи или универсальным группам безопасности. Внешний лес необходимо доверием леса ресурсов.At a minimum, configuring a linked role group requires that a one-way trust is established between the resource Active Directory forest in which the linked role group will reside, and the foreign Active Directory forest where the users or USGs reside. The resource forest must trust the foreign forest.

  • Необходимо иметь следующие сведения о внешнем лесе Active Directory:You must have the following information about the foreign Active Directory forest:

    • Учетные данные Необходимо иметь имя пользователя и пароль, который можно получить доступ к внешний лес Active Directory. Эта информация используется совместно с параметром LinkedCredential в командлетах New-RoleGroup и Set-RoleGroup .Credentials You must have a user name and password that can access the foreign Active Directory forest. This information is used with the LinkedCredential parameter on the New-RoleGroup and Set-RoleGroup cmdlets.

    • Контроллер домена Необходимо иметь полное доменное имя (FQDN) контроллера домена Active Directory в другом лесу Active Directory. Эта информация используется совместно с параметром LinkedDomainController в командлетах New-RoleGroup и Set-RoleGroup .Domain controller You must have the fully qualified domain name (FQDN) of an Active Directory domain controller in the foreign Active Directory forest. This information is used with the LinkedDomainController parameter on the New-RoleGroup and Set-RoleGroup cmdlets.

    • Внешней универсальной группы безопасности Необходимо иметь полное имя универсальной группы безопасности в другом лесу Active Directory, которая содержит элементы, которые необходимо связать с связанная группа ролей. Эта информация используется совместно с параметром LinkedForeignGroup с параметрами командлета New-RoleGroup и Set-RoleGroup .Foreign USG You must have the full name of a USG in the foreign Active Directory forest that contains the members you want to associate with the linked role group. This information is used with the LinkedForeignGroup parameter on the New-RoleGroup and Set-RoleGroup cmdlet.

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts in the Exchange admin center.

Совет

Возникли проблемы? Обращение за помощью в форумах Exchange. Посетите форумы Exchange Server, Exchange Onlineили Exchange Online Protection.Having problems? Ask for help in the Exchange forums. Visit the forums at Exchange Server, Exchange Online, or Exchange Online Protection.

Что необходимо сделать?What do you want to do?

Создание связанной группой ролейCreate a linked role group

Использование командной консоли для создания связанной группы ролей без областиUse the Shell to create a linked role group with no scope

Чтобы создать связанную группу ролей и назначить роли управления для этой группы, выполните следующие действия:To create a linked role group and assign management roles to the linked role group, do the following:

  1. Сохраните учетные данные внешнего леса Active Directory в переменной.Store the foreign Active Directory forest credentials in a variable.

    $ForeignCredential = Get-Credential
    
  2. Создайте связанную группу ролей, используя следующую синтаксическую конструкцию.Create the linked role group using the following syntax.

        New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -Roles <role1, role2, role3...>
    
  3. Добавлять или удалять участников из внешней универсальной группы безопасности с помощью Active Directory — пользователи и компьютеры на компьютере в другом лесу Active Directory.Add or remove members to or from the foreign USG using Active Directory Users and Computers on a computer in the foreign Active Directory forest.

В данном примере выполняется следующее:This example does the following:

  • Получает учетные данные для внешнего леса Active Directory users.contoso.com. Эти учетные данные используются для подключения к контроллеру домена DC01.users.contoso.com в другом лесу.Retrieves the credentials for the users.contoso.com foreign Active Directory forest. These credentials are used to connect to the DC01.users.contoso.com domain controller in the foreign forest.

  • Создание связанной группой ролей вызывает группу ролей соответствия требованиям в ресурсов леса, где установлен Exchange 2013.Creates a linked role group called Compliance Role Group in the resource forest where Exchange 2013 is installed.

  • Ссылки в новую группу ролей для универсальной группы безопасности Администраторы соответствия требованиям в другом лесу Active Directory users.contoso.com.Links the new role group to the Compliance Administrators USG in the users.contoso.com foreign Active Directory forest.

  • Связанной группе ролей назначаются роли управления правилами транспорта и ведением журнала.Assigns the Transport Rules and Journaling management roles to the new linked role group.

$ForeignCredential = Get-Credential
    New-RoleGroup "Compliance Role Group" -LinkedForeignGroup "Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles "Transport Rules", "Journaling"

Использование командной консоли для создания связанной группы ролей с настраиваемой областью управленияUse the Shell to create a linked role group with a custom management scope

Можно создавать связанные группы ролей с настраиваемыми областями управления получателями, настраиваемыми областями управления конфигурацией или обоих видов. Чтобы создать связанную группу ролей и назначить для этой группы роли управления с настраиваемыми областями, выполните следующие действия:You can create linked role groups with custom recipient management scopes, custom configuration management scopes, or both. To create a linked role group and assign management roles with custom scopes to it, do the following:

  1. Сохраните учетные данные внешнего леса Active Directory в переменной.Store the foreign Active Directory forest credentials in a variable.

    $ForeignCredential = Get-Credential
    
  2. Создайте связанную группу ролей, используя следующую синтаксическую конструкцию.Create the linked role group using the following syntax.

        New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -CustomConfigWriteScope <name of configuration scope> -CustomRecipientWriteScope <name of recipient scope> -LinkedCredential $ForeignCredential -Roles <role1, role2, role3...>
    
  3. Добавлять или удалять участников из внешней универсальной группы безопасности с помощью Active Directory — пользователи и компьютеры на компьютере в другом лесу Active Directory.Add or remove members to or from the foreign USG using Active Directory Users and Computers on a computer in the foreign Active Directory forest.

В данном примере выполняется следующее:This example does the following:

  • Получает учетные данные для внешнего леса Active Directory users.contoso.com. Эти учетные данные используются для подключения к контроллеру домена DC01.users.contoso.com в другом лесу.Retrieves the credentials for the users.contoso.com foreign Active Directory forest. These credentials are used to connect to the DC01.users.contoso.com domain controller in the foreign forest.

  • Создание связанной группой ролей вызывает группу ролей Сиэтл соответствия требованиям в ресурсов леса, где установлен Exchange 2013.Creates a linked role group called Seattle Compliance Role Group in the resource forest where Exchange 2013 is installed.

  • Ссылки в новую группу ролей для Москвы соответствия Администраторы универсальной группы безопасности в другом лесу Active Directory users.contoso.com.Links the new role group to the Seattle Compliance Administrators USG in the users.contoso.com foreign Active Directory forest.

  • Новой связанной группе ролей с настраиваемой областью получателей «Получатели Сиэтла» назначаются роли управления правилами транспорта и ведением журнала.Assigns the Transport Rules and Journaling management roles to the new linked role group with the Seattle Recipients custom recipient scope.

$ForeignCredential = Get-Credential
    New-RoleGroup "Seattle Compliance Role Group" -LinkedForeignGroup "Seattle Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -CustomRecipientWriteScope "Seattle Recipients" -Roles "Transport Rules", "Journaling"

Дополнительные сведения об областях управления см. в разделе Общие сведения об областях ролей управления.For more information about management scopes, see Understanding management role scopes.

Использование командной консоли для создания связанной группы ролей с областью подразделенияUse the Shell to create a linked role group with an OU scope

Можно создавать связанные группы ролей, использующие область получателя подразделения. Чтобы создать связанную группу ролей и назначить для этой группы роли управления с областью подразделения, выполните следующие действия:You can create linked role groups that use an OU recipient scope. To create a linked role group and assign management roles to it with an OU scope, do the following:

  1. Сохраните учетные данные внешнего леса Active Directory в переменной.Store the foreign Active Directory forest credentials in a variable.

    $ForeignCredential = Get-Credential
    
  2. Создайте связанную группу ролей, используя следующую синтаксическую конструкцию.Create the linked role group using the following syntax.

        New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -RecipientOrganizationalUnitScope <OU name> -Roles <role1, role2, role3...>
    
  3. Добавлять или удалять участников из внешней универсальной группы безопасности с помощью Active Directory — пользователи и компьютеры на компьютере в другом лесу Active Directory.Add or remove members to or from the foreign USG using Active Directory Users and Computers on a computer in the foreign Active Directory forest.

В данном примере выполняется следующее:This example does the following:

  • Получает учетные данные для внешнего леса Active Directory users.contoso.com. Эти учетные данные используются для подключения к контроллеру домена DC01.users.contoso.com в другом лесу.Retrieves the credentials for the users.contoso.com foreign Active Directory forest. These credentials are used to connect to the DC01.users.contoso.com domain controller in the foreign forest.

  • Создание связанной группой ролей называется группа ролей соответствия руководители ресурсов леса, где установлен Exchange 2013.Creates a linked role group called Executives Compliance Role Group in the resource forest where Exchange 2013 is installed.

  • Ссылки в новую группу ролей для руководителей соответствия Администраторы универсальной группы безопасности в другом лесу Active Directory users.contoso.com.Links the new role group to the Executives Compliance Administrators USG in the users.contoso.com foreign Active Directory forest.

  • Назначаются роли управления правилами транспорта и ведением журнала для новой связанной группы ролей с областью получателей подразделения «Руководители».Assigns the Transport Rules and Journaling management roles to the new linked role group with the OU recipient scope Executives OU.

$ForeignCredential = Get-Credential
    New-RoleGroup "Executives Compliance Role Group" -LinkedForeignGroup "Executives Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -RecipientOrganizationalUnitScope "Executives OU" -Roles "Transport Rules", "Journaling"

Дополнительные сведения об областях управления см. в разделе Общие сведения об областях ролей управления.For more information about management scopes, see Understanding management role scopes.

Изменение внешней универсальной группы безопасности в связанной группой ролейChange the foreign USG on a linked role group

Использование командной консоли для изменения внешней универсальной группы безопасности для связанной группы ролейUse the Shell to change the foreign USG on a linked role group

Чтобы изменить внешнюю универсальную группу безопасности, сопоставленную со связанной группой ролей, выполните следующие действия.To change the foreign USG associated with a linked role group, do the following:

  1. Сохраните учетные данные внешнего леса Active Directory в переменной.Store the foreign Active Directory forest credentials in a variable.

    $ForeignCredential = Get-Credential
    
  2. Изменение внешней универсальной группы безопасности на существующий связанная группа ролей, используя следующий синтаксис.Change the foreign USG on the existing linked role group using the following syntax.

        Set-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential 
    

В данном примере выполняется следующее:This example does the following:

  • Получает учетные данные для внешнего леса Active Directory users.contoso.com. Эти учетные данные используются для подключения к контроллеру домена DC01.users.contoso.com в другом лесу.Retrieves the credentials for the users.contoso.com foreign Active Directory forest. These credentials are used to connect to the DC01.users.contoso.com domain controller in the foreign forest.

  • Изменяется внешняя универсальная группа безопасности для группы ролей Compliance Role Group на Regulatory Compliance Officers.Changes the foreign USG on the Compliance Role Group role group to Regulatory Compliance Officers.

$ForeignCredential = Get-Credential
    Set-RoleGroup "Compliance Role Group" -LinkedForeignGroup "Regulatory Compliance Officers" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential