Управление группами ролейManage role groups

Применимо к: Exchange Server 2013Applies to: Exchange Server 2013

В этом разделе показано, как добавлять, удалять, копировать и просматривать группы ролей управления в Microsoft Exchange Server 2013.This topic shows you how to add, remove, copy, and view management role groups in Microsoft Exchange Server 2013. Здесь также показано, как добавлять, удалять и перечислить роли управления в группах ролей, а также изменять области управления и делегаты в группах ролей.It also shows you how to add, remove, and list management roles on role groups and how to change management scopes and delegates on role groups. Для получения дополнительных сведений о группах ролей в Exchange 2013, ознакомьтесь со статьей общие сведения о группах ролей управления.For more information about role groups in Exchange 2013, see Understanding management role groups.

Дополнительные сведения о задачах управления, связанных с группами ролей, см. в разделе Разрешения.For additional management tasks related to role groups, see Permissions.

Что нужно знать перед началом работы?What do you need to know before you begin?

Совет

Возникли проблемы?Having problems? Обратитесь за помощью к участникам форумов Exchange.Ask for help in the Exchange forums. Посетите форумы на сервере Exchange Server.Visit the forums at Exchange Server.

Создание группы ролейCreate a role group

Если нужно настроить разрешения, которые можно назначить группе пользователей, создайте новую настраиваемую группу ролей управления.If you want to customize the permissions that you can assign to a group of users, create a new custom management role group.

Использование Центра администрирования Exchange для создания группы ролейUse the EAC to create a role group

  1. В центре администрирования Exchange перейдите к роли администратора разрешения > и нажмите кнопку Добавить значок Добавить значок. **** In the Exchange admin center (EAC), navigate to Permissions > Admin Roles and then click Add Add Icon.

  2. В окне Новая группа ролей укажите имя новой группы.In the New role group window, provide a name for the new role group.

  3. Вы можете сразу выбрать роли, которые требуется назначить группе ролей, и членов, которых требуется добавить к группе ролей, или сделать это позднее.You can either select the roles that you want to be assigned to the role group and the members you want to be added to the role group now, or you can do this at another time.

  4. Выберите область записи, которую требуется применить к новой группе ролей.Select the write scope that you want to apply to the new role group.

  5. Нажмите кнопку Сохранить, чтобы создать группу.Click Save to create the role group.

Использование командной консоли для создания группы ролейUse the Shell to create a role group

Сведения о создании группы ролей см. в разделе Examples статьи New-RoleGroup.To create a role group, see the Examples section in New-RoleGroup.

Как убедиться, что все получилось?How do you know this worked?

Чтобы убедиться в успешном создании группы ролей, выполните следующие действия.To verify that you have successfully created a role group, do the following:

  1. В центре администрирования Exchange откройте раздел Разрешения > Роли администраторов.In the EAC, navigate to Permissions > Admin Roles.

  2. Убедитесь, что новая группа ролей отображается в списке групп ролей, и выберите ее.Verify that the new role group appears in the role group list and then select it.

  3. Убедитесь, что члены, назначенные роли и область, которые вы указали для новой группы ролей, перечислены в области сведений группы ролей.Verify that members, assigned roles, and scope that you specified on the new role group are listed in the role group details pane.

Копирование группы ролейCopy a role group

Использование Центра администрирования Exchange для копирования группы ролейUse the EAC to copy a role group

Если при предоставлении разрешений группы ролей другим пользователям необходимо применить другую область управления, удалить либо добавить одну или несколько ролей управления без необходимости добавлять все роли вручную, можно скопировать существующую группу ролей.If you have a role group that contains the permissions you want to grant to users, but you want to apply a different management scope, or remove or add one or two management roles without having to add all the other roles manually, you can copy the existing role group.

Важно!

Вы не можете использовать центр администрирования Exchange для копирования группы ролей, если вы использовали командную консоль Exchange для настройки нескольких областей ролей управления или монопольных областей в группе ролей.You can't use the EAC to copy a role group if you've used the Exchange Management Shell to configure multiple management role scopes or exclusive scopes on the role group. Если для группы ролей настроены несколько областей или монопольная область, то для копирования группы ролей необходимо использовать процедуры командной консоли, описанные далее в этом разделе.If you've configured multiple scopes or exclusive scopes on the role group, you must use the Shell procedures later in this topic to copy the role group. Дополнительные сведения об областях ролей управления приведены в разделе Общие сведения об областях ролей управления.For more information about management role scopes, see Understanding management role scopes.

  1. В центре администрирования Exchange откройте раздел Разрешения > Роли администраторов.In the EAC, navigate to Permissions > Admin Roles.

  2. Выберите группу ролей, которую необходимо скопировать, и нажмите кнопку Копировать значок Копировать значоккопировать.Select the role group you want to copy and then click Copy Copy Icon.

  3. В окне Новая группа ролей укажите имя новой группы.In the New role group window, provide a name for the new role group.

  4. Просмотрите роли, которые были скопированы в новую группу ролей. Добавьте или удалите роли при необходимости.Review the roles that have been copied to the new role group. Add or remove roles as necessary.

  5. Просмотрите область записи и при необходимости измените ее.Review the write scope, and change it as necessary.

  6. Просмотрите членов, которые были скопированы в новую группу ролей. Добавьте или удалите членов при необходимости.Review the members that have been copied to the new role group. Add or remove members as necessary.

  7. Нажмите кнопку Сохранить, чтобы создать группу.Click Save to create the role group.

Использование командной консоли для копирования группы ролей без области действияUse the Shell to copy a role group with no scope

  1. Сохраните группу ролей, которую необходимо копировать, в переменной с помощью следующей синтаксической конструкции:Store the role group that you want to copy in a variable using the following syntax.

    $RoleGroup = Get-RoleGroup <name of role group to copy>
    
  2. Создайте новую группу ролей, добавьте в нее членов и укажите пользователей, которые могут делегировать новую группу ролей другим пользователям, с помощью следующего синтаксиса.Create the new role group, and also add members to the role group and specify who can delegate the new role group to other users, using the following syntax.

    New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -Members <member1, member2, member3...> -ManagedBy <user1, user2, user3...>
    

Например, следующие команды копируют группу ролей «Organization Management» и присваивают новой группе ролей имя «Limited Organization Management». В группу добавляются члены Isabelle, Carter и Lukas и назначаются пользователи, которые могут делегировать группу ролей: Jenny и Katie.For example, the following commands copy the Organization Management role group, and name the new role group "Limited Organization Management". It adds the members Isabelle, Carter, and Lukas and can be delegated by Jenny and Katie.

$RoleGroup = Get-RoleGroup "Organization Management"
New-RoleGroup "Limited Organization Management" -Roles $RoleGroup.Roles -Members Isabelle, Carter, Lukas -ManagedBy Jenny, Katie

После создания группы ролей в нее можно добавлять роли или удалять роли из нее, изменять область назначений ролей и т. д.After the new role group is created, you can add or remove roles, change the scope of role assignments on the role, and more.

Дополнительные сведения о синтаксисе и параметрах см. в разделах Get-RoleGroup и New-RoleGroup.For detailed syntax and parameter information, see Get-RoleGroup and New-RoleGroup.

Использование командной консоли для копирования группы ролей с настраиваемой областьюUse the Shell to copy a role group with a custom scope

  1. Сохраните группу ролей, которую необходимо копировать, в переменной с помощью следующей синтаксической конструкции:Store the role group that you want to copy in a variable using the following syntax.

    $RoleGroup = Get-RoleGroup <name of role group to copy>
    
  2. Создайте новую группу ролей с настраиваемой областью с помощью следующей синтаксической конструкции:Create the new role group with a custom scope using the following syntax.

    New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuraiton scope name>
    

Например, следующие команды копируют группу ролей «Organization Management» и создают новую группу ролей с именем «Vancouver Organization Management» с областью получателей «Vancouver Users» и областью конфигурации «Vancouver Servers».For example, the following commands copy the Organization Management role group and create a new role group called Vancouver Organization Management with the Vancouver Users recipient scope and Vancouver Servers configuration scope.

$RoleGroup = Get-RoleGroup "Organization Management"
New-RoleGroup "Vancouver Organization Management" -Roles $RoleGroup.Roles -CustomRecipientWriteScope "Vancouver Users" -CustomConfigWriteScope "Vancouver Servers"

Вы также можете добавлять участников в группу ролей при ее создании с помощью параметра Members ** , как показано в разделе Использование командной консоли для копирования группы ролей без области действия, описанной выше в этом разделе.You can also add members to the role group when you create it by using the Members parameter as shown in Use the Shell to copy a role group with no scope earlier in this topic. Дополнительные сведения об областях управления см. в разделе Общие сведения об областях ролей управления.For more information about management scopes, see Understanding management role scopes.

После создания группы ролей в нее можно добавлять роли или удалять роли из нее, изменять область назначений ролей и выполнять другие задачи.After the new role group is created, you can add or remove roles, change the scope of role assignments on the role, and perform other tasks.

Дополнительные сведения о синтаксисе и параметрах см. в разделах Get-RoleGroup и New-RoleGroup.For detailed syntax and parameter information, see Get-RoleGroup and New-RoleGroup.

Использование командной консоли для копирования группы ролей с областью подразделенияUse the Shell to copy a role group with an OU scope

  1. Сохраните группу ролей, которую необходимо копировать, в переменной с помощью следующей синтаксической конструкции:Store the role group that you want to copy in a variable using the following syntax.

    $RoleGroup = Get-RoleGroup <name of role group to copy>
    
  2. Создайте новую группу ролей с настраиваемой областью с помощью следующей синтаксической конструкции:Create the new role group with a custom scope using the following syntax.

    New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -RecipientOrganizationalUnitScope <OU name>
    

Например, следующие команды копируют группу ролей «Recipient Management» и создают новую группу ролей с именем «Toronto Recipient Management», которая позволяет управлять только пользователями в подразделении «Toronto Users».For example, the following commands copy the Recipient Management role group and create a new role group called Toronto Recipient Management that allows management of only users in the Toronto Users OU.

$RoleGroup = Get-RoleGroup "Recipient Management"
New-RoleGroup "Toronto Recipient Management" -Roles $RoleGroup.Roles -RecipientOrganizationalUnitScope "contoso.com/Toronto Users"

Вы также можете добавлять участников в группу ролей при ее создании с помощью параметра Members ** , как показано в разделе Использование командной консоли для копирования группы ролей без области действия, описанной выше в этом разделе.You can also add members to the role group when you create it by using the Members parameter as shown in Use the Shell to copy a role group with no scope earlier in this topic. Дополнительные сведения об областях управления см. в разделе Общие сведения об областях ролей управления.For more information about management scopes, see Understanding management role scopes.

После создания группы ролей в нее можно добавлять роли или удалять роли из нее, изменять область назначений ролей и т. д.After the new role group is created, you can add or remove roles, change the scope of role assignments on the role, and more.

Дополнительные сведения о синтаксисе и параметрах см. в разделах Get-RoleGroup и New-RoleGroup.For detailed syntax and parameter information, see Get-RoleGroup and New-RoleGroup.

Как проверить, что все получилось?How do you know this worked?

Чтобы убедиться в успешном копировании группы ролей, выполните следующие действия.To verify that you have successfully copied a role group, do the following:

  1. В центре администрирования Exchange откройте раздел Разрешения > Роли администраторов.In the EAC, navigate to Permissions > Admin Roles.

  2. Убедитесь, что скопированная группа ролей отображается в списке групп ролей, и выберите ее.Verify that the copied role group appears in the role group list, and then select it.

  3. Убедитесь, что члены, назначенные роли и область, которые вы указали для скопированной группы ролей, перечислены в области сведений группы ролей.Verify that members, assigned roles, and scope that you specified on the copied role group are listed in the role group details pane.

Удаление группы ролейRemove a role group

Если созданная группа ролей больше не нужна, ее можно удалить. При удалении группы ролей также удаляются и назначения управления ролями между группой ролей и ролями управления. Сами роли управления не удаляются. Если доступ пользователя к функции зависел от группы ролей, пользователь не будет иметь доступа к функции. Встроенные группы ролей удалить невозможно.If you no longer need a role group you created, you can remove it. When you remove a role group, the management role assignments between the role group and the management roles are deleted. The management roles aren't deleted. If a user depended on the role group for access to a feature, the user will no longer have access to the feature. You can't remove built-in role groups.

Использование Центра администрирования Exchange для удаления группы ролейUse the EAC to remove a role group

  1. В центре администрирования Exchange откройте раздел Разрешения > Роли администраторов.In the EAC, navigate to Permissions > Admin Roles.

  2. Выберите группу ролей, которую необходимо удалить, и нажмите кнопку Удалить значок удаления значка.Select the role group you want to remove and then click Delete Delete icon.

  3. Убедитесь, что вы хотите удалить выбранную группу ролей, и, если это так, выберите Да в качестве ответа на предупреждение.Verify that you want to remove the selected role group, and if so, respond Yes to the warning.

Использование командной консоли для удаления группы ролейUse the Shell to remove a role group

Сведения об удалении группы ролей см. в разделе Examples статьи Remove-RoleGroup.To remove a role group, see the Examples section in Remove-RoleGroup.

Просмотр групп ролейView role groups

Вы можете просмотреть список групп ролей или подробные сведения о конкретной группе ролей, существующей в организации.You can view either a list of role groups or the detailed information about a specific role group that exists in your organization.

Использование Центра администрирования Exchange для просмотра списка групп ролей и сведений о нихUse the EAC to view a list of role groups and role group details

  1. В центре администрирования Exchange откройте раздел Разрешения > Роли администраторов. Здесь перечислены все группы ролей в организации.In the EAC, navigate to Permissions > Admin Roles. All of the role groups in your organization are listed here.

  2. Выберите группу ролей для просмотра членов, назначенных ролей и области, настроенных для группы ролей.Select a role group to view the members, assigned roles, and scope that are configured on the role group.

Использование командной консоли для просмотра списка групп ролей и сведений о группах ролейUse the Shell to view a list of role groups and role group details

Сведения о просмотре списка групп ролей см. в разделе Examples статьи Get-RoleGroup.To view a list of role groups, see the Examples section in Get-RoleGroup.

Добавление роли в группу ролейAdd a role to a role group

Добавление роли управления в группу ролей является самым лучшим и простым способом предоставления разрешений группе администраторов или пользователей-специалистов. Если следует предоставить пользователям, являющимся членами группы ролей, возможность управлять определенной возможностью, следует добавить в группу ролей роль управления, которая отвечает за управление этой возможностью. После добавления роли членам группы ролей предоставляются разрешения, обеспечиваемые данной ролью.Adding a management role to a role group is the best and simplest way to grant permissions to a group of administrators or specialist users. If you want to give users that are members of a role group the ability to manage a feature, you add the management role that manages the feature to the role group. After the role is added, the members of the role group are granted the permissions provided by the role.

Использование Центра администрирования Exchange для добавления роли управления в группу ролейUse the EAC to add a management role to a role group

Важно!

Вы не можете использовать центр администрирования Exchange для добавления ролей в группу ролей, если вы использовали командную консоль для настройки нескольких областей ролей управления или монопольных областей в группе ролей.You can't use the EAC to add roles to a role group if you've used the Shell to configure multiple management role scopes or exclusive scopes on the role group. Если вы настроили несколько областей или исключительных областей в группе ролей, для добавления ролей в группу ролей необходимо использовать процедуры оболочки, приведенные далее в этом разделе.If you've configured multiple scopes or exclusive scopes on the role group, you must use the Shell procedures later in this topic to add roles to the role group. Дополнительные сведения об областях ролей управления приведены в разделе Общие сведения об областях ролей управления.For more information about management role scopes, see Understanding management role scopes.

  1. В центре администрирования Exchange откройте раздел Разрешения > Роли администраторов.In the EAC, navigate to Permissions > Admin Roles.

  2. Выберите группу ролей, к которой нужно добавить роль, и нажмите кнопку изменить значок редактирования значка.Select the role group you want to add a role to, and then click Edit Edit icon.

  3. В разделе Роли выберите роли, которые требуется добавить в группу ролей.In the Roles section, select the roles you want to add to the role group.

  4. Когда добавление ролей в группу ролей завершено, нажмите кнопку Сохранить.When you've finished adding roles to the role group, click Save.

Использование командной консоли для создания назначения роли без областиUse the Shell to create a role assignment with no scope

Можно создать назначение роли без области между ролью и группой ролей. При этом применяются неявные области чтения и записи роли.You can create a role assignment with no scope between a role and a role group. When you do this, the implicit read and implicit write scopes of the role apply.

Используйте следующий синтаксис для назначения группе ролей роли без области. Если имя назначения роли не задано, оно создается автоматически.Use the following syntax to assign a role without any scope to a role group. A role assignment name is created automatically if you don't specify one.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name>

В этом примере группе ролей Seattle Compliance назначается роль управления Transport Rules.This example assigns the Transport Rules management role to the Seattle Compliance role group.

New-ManagementRoleAssignment -SecurityGroup "Seattle Compliance" -Role "Transport Rules"

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.For detailed syntax and parameter information, see New-ManagementRoleAssignment.

Использование командной консоли для создания назначения роли с предварительно определенной областьюUse the Shell to create a role assignment with a predefined scope

Если предварительно определенная область соответствует потребностям организации, можно применить эту область к назначению роли, а не создавать новую. Список предварительно определенных областей и их описания см. в разделе Общие сведения об областях ролей управления.If a predefined scope meets your business requirements, you can apply that scope to the role assignment rather than create a new one. For a list of predefined scopes and their descriptions, see Understanding management role scopes.

Дополнительные сведения о назначениях ролей см. в разделе Общие сведения о назначениях ролей управления.For more information about role assignments, see Understanding management role assignments.

Используйте следующий синтаксис для назначения группе ролей роли с предварительно определенной областью. Если имя назначения роли не задано, оно создается автоматически.Use the following syntax to assign a role to a role group with a predefined scope. A role assignment name is created automatically if you don't specify one.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -RecipientRelativeWriteScope < MyGAL | MyDistributionGroups | Organization | Self >

В этом примере роль Message Tracking назначается группе ролей Enterprise Support, затем применяется предварительно определенная область Organization.This example assigns the Message Tracking role to the Enterprise Support role group and applies the Organization predefined scope.

New-ManagementRoleAssignment -SecurityGroup "Enterprise Support" -Role "Message Tracking" -RecipientRelativeWriteScope Organization

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.For detailed syntax and parameter information, see New-ManagementRoleAssignment.

Использование командной консоли для создания назначения роли с областью, основанной на фильтре получателейUse the Shell to create a role assignment with a recipient filter-based scope

Если вы создали область на основе фильтра получателей, необходимо включить эту область в команду, используемую для назначения роли группе ролей, с помощью параметра CustomRecipientWriteScope .If you created a recipient filter-based scope, you need to include the scope in the command used to assign the role to a role group by using the CustomRecipientWriteScope parameter.

Также можно включить область записи конфигурации при создании назначения роли с областью, основанной на фильтре получателей.You can also include a configuration write scope when you create a role assignment that has a recipient write scope.

Дополнительные сведения о назначениях ролей и областях см. в следующих разделах:For more information about role assignments and scopes, see the following topics:

Используйте следующий синтаксис для назначения роли группе ролей с областью, основанной на фильтре получателей. Если имя назначения роли не задано, оно создается автоматически.Use the following syntax to assign a role to a role group with a recipient filter-based scope. A role assignment name is created automatically if you don't specify one.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -CustomRecipientWriteScope <role scope name>

В этом примере роль Message Tracking назначается группе ролей Seattle Recipient Admins, затем применяется область Seattle Recipients.This example assigns the Message Tracking role to the Seattle Recipient Admins role group and applies the Seattle Recipients scope.

New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Message Tracking" -CustomRecipientWriteScope "Seattle Recipients"

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.For detailed syntax and parameter information, see New-ManagementRoleAssignment.

Использование командной консоли для создания назначения роли с областью конфигурацииUse the Shell to create a role assignment with a configuration scope

Если вы создали фильтр конфигурации сервера или базы данных или область на основе списка, необходимо включить эту область в команду, используемую для назначения роли группе ролей, с помощью параметра CustomConfigWriteScope .If you created a server or database configuration filter or list-based scope, you need to include the scope in the command used to assign the role to a role group by using the CustomConfigWriteScope parameter.

Также можно включить область записи получателей при создании назначения роли с областью, основанной на фильтре конфигураций.You can also include a recipient write scope when you create a role assignment that has a configuration write scope.

Дополнительные сведения о назначениях ролей и областях управления см. в следующих разделах:For more information about role assignments and management scopes, see the following topics:

Используйте следующий синтаксис для назначения группе ролей роли с областью конфигурации. Если имя назначения роли не задано, оно создается автоматически.Use the following syntax to assign a role to a role group with a configuration scope. A role assignment name is created automatically if you don't specify one.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -CustomConfigWriteScope <role scope name>

В этом примере роль Databases назначается группе ролей Seattle Server Admins, затем применяется область Seattle Servers.This example assigns the Databases role to the Seattle Server Admins role group and applies the Seattle Servers scope.

New-ManagementRoleAssignment -SecurityGroup "Seattle Server Admins" -Role "Databases" -CustomConfigWriteScope "Seattle Servers"

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.For detailed syntax and parameter information, see New-ManagementRoleAssignment.

Использование командной консоли для создания назначения роли с областью подразделенийUse the Shell to create a role assignment with an OU scope

Если вы хотите ограничить область записи роли подразделением, можно указать подразделение напрямую в параметре RecipientOrganizationalUnitScope .If you want to scope a role's write scope to an OU, you can specify the OU in the RecipientOrganizationalUnitScope parameter directly.

Дополнительные сведения о назначениях ролей и областях управления см. в следующих разделах:For more information about role assignments and management scopes, see the following topics:

Используйте приведенную ниже команду для назначения роли группе ролей и ограничения области записи роли определенным подразделением. Если имя назначения роли не задано, оно создается автоматически.Use the following command to assign a role to a role group and restrict the write scope of a role to a specific OU. A role assignment name is created automatically if you don't specify one.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -RecipientOrganizationalUnitScope <OU>

В этом примере роль Mail Recipients назначается группе ролей "Администраторы получателей" в Сиэтле и областью назначения для подразделения "\пользователи отдела продаж" в домене contoso.com.This example assigns the Mail Recipients role to the Seattle Recipient Admins role group and scopes the assignment to the Sales\Users OU in the Contoso.com domain.

New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.For detailed syntax and parameter information, see New-ManagementRoleAssignment.

Как убедиться, что все получилось?How do you know this worked?

Чтобы убедиться в успешном добавлении ролей в группу ролей, выполните следующие действия.To verify that you have successfully added roles to a role group, do the following:

  1. В центре администрирования Exchange откройте раздел Разрешения > Роли администраторов.In the EAC, navigate to Permissions > Admin Roles.

  2. Выберите группу ролей, в которую вы добавили роли. Убедитесь в наличии добавленных ролей на панели сведений группы ролей.Select the role group you added roles to. In the role group details pane, verify that the roles that you added are listed.

Удаление роли из группы ролейRemove a role from a role group

Удаление роли из группы ролей управления является самым лучшим и простым способом отзыва разрешений, предоставленных группе администраторов или пользователей-специалистов. Если отсутствует необходимость в предоставлении администраторам или пользователям-специалистам разрешений на управление функцией, следует удалить роль управления из группы ролей управления, управляющей разрешениями. После удаления роли члены группы ролей больше не имеют допуска к управлению функцией.Removing a role from a management role group is the best and simplest way to revoke permissions granted to a group of administrators or specialist users. If you don't want administrators or specialist users to have permissions to manage a feature, you remove the management role from the management role group that manages the permissions. After the role is removed, the members of the role group will no longer have permissions to manage the feature.

Примечание

Некоторые группы ролей, например группа ролей Управление организацией, ограничивают роли, которые могут быть удалены из группы ролей.Some role groups, such as the Organization Management role group, restrict what roles can be removed from a role group. Более подробную информацию можно узнать в статье Общие сведения о группах ролей управления.For more information, see Understanding management role groups.
Если администратор входит в состав другой группы ролей, которая содержит роли управления, позволяющие управлять функцией, необходимо либо удалить администратора из других групп ролей, либо удалить роль, которая предоставляет доступ к управлению функцией из других групп ролей.If an administrator is a member of another role group that contains management roles that grants permissions to manage the feature, you need to either remove the administrator from the other role groups, or remove the role that grants permissions to manage the feature from the other role groups.

Использование Центра администрирования Exchange для удаления роли управления из группы ролейUse the EAC to remove a management role from a role group

Важно!

Вы не можете использовать центр администрирования Exchange для удаления ролей из группы ролей, если вы использовали командную консоль для настройки нескольких областей или монопольных областей в группе ролей.You can't use the EAC to remove roles from a role group if you've used the Shell to configure multiple scopes or exclusive scopes on the role group. При выполненной настройке нескольких областей или монопольных областей для группы ролей необходимо использовать процедуры командной строки для удаления ролей из группы ролей, рассматриваемые далее в этом разделе.If you've configured multiple scopes or exclusive scopes on the role group, you must use the Shell procedures later in this topic to remove roles from the role group. Дополнительные сведения об областях ролей управления приведены в разделе Общие сведения об областях ролей управления.For more information about management role scopes, see Understanding management role scopes.

  1. В центре администрирования Exchange откройте раздел Разрешения > Роли администраторов.In the EAC, navigate to Permissions > Admin Roles.

  2. Выберите группу ролей, из которой требуется удалить роль, и нажмите кнопку изменить значок редактирования значка.Select the role group you want to remove a role from, and then click Edit Edit icon.

  3. В разделе Роли выберите роли, которые требуется удалить из группы ролей.In the Roles section, select the roles you want to remove from the role group.

  4. Когда удаление ролей из группы ролей завершено, нажмите кнопку Сохранить.When you've finished removing roles from the role group, click Save.

Удаление роли из группы ролей с помощью командной консоли ExchangeUse the Shell to remove a role from a role group

Можно удалить роли из группы ролей при получении назначения связанной роли управления с использованием командлета Get-ManagementRoleAssignment и последующей передачи назначения роли обратно в командлет Remove-ManagementRoleAssignment.You can remove roles from role groups by retrieving the associated management role assignment using the Get-ManagementRoleAssignment cmdlet and then piping the role assignment returned to the Remove-ManagementRoleAssignment cmdlet. Если вы не хотите одновременно удалить и делегирование, и обычные назначения ролей, укажите параметр делегирования ** , чтобы указать, нужно ли удалять обычные или делегированные назначения ролей.Unless you want to remove both delegating and regular role assignments at the same time, specify the Delegating parameter to specify whether you want to remove regular or delegating role assignments.

Дополнительные сведения о стандартных и делегированных назначениях ролей см. в разделе Общие сведения о назначениях ролей управления.For more information about regular and delegating role assignments, see Understanding management role assignments.

В этой процедуре используется конвейеризация. Дополнительные сведения о конвейерном режиме см. в разделе Pipelining.This procedure uses pipelining. For more information about pipelining, see Pipelining.

Для удаления роли из группы ролей используйте следующий синтаксис.To remove a role from a role group, use the following syntax.

Get-ManagementRoleAssignment -RoleAssignee <role group name> -Role <role name> -Delegating <$true | $false> | Remove-ManagementRoleAssignment

В этом примере роль групп рассылки, позволяющая администраторам управлять группами рассылки, удаляется из группы ролей Seattle Recipient Administrators.This example removes the Distribution Groups role, which enables administrators to manage distribution groups, from the Seattle Recipient Administrators role group. Так как мы хотим удалить назначение роли, предоставляющее разрешения для управления группами рассылки, параметру делегирования присвоено $Falseзначение, которое возвращает только обычные назначения ролей.Because we want to remove the role assignment that provides permissions to manage distribution groups, the Delegating parameter is set to $False, which returns only regular role assignments.

Get-ManagementRoleAssignment -RoleAssignee "Seattle Recipient Administrators" -Role "Distribution Groups" -Delegating $false | Remove-ManagementRoleAssignment

Дополнительные сведения о синтаксисе и параметрах см. в разделе Remove-ManagementRoleAssignment.For detailed syntax and parameter information, see Remove-ManagementRoleAssignment.

Как убедиться, что все получилось?How do you know this worked?

Чтобы убедиться в успешном удалении ролей из группы ролей, выполните следующие действия.To verify that you have successfully removed roles from a role group, do the following:

  1. В центре администрирования Exchange откройте раздел Разрешения > Роли администраторов.In the EAC, navigate to Permissions > Admin Roles.

  2. Выберите группу ролей, из которой вы удалили роли. Убедитесь в отсутствии удаленных ролей на панели сведений группы ролей.Select the role group you removed roles from. In the role group details pane, verify that the roles that you removed are no longer listed.

Изменение области группы ролейChange a role group's scope

Назначения ролей управления между группой ролей и ролью включают в себя области управления, определяющие объекты, которые будут доступны членам этой группы ролей. Можно изменять область записи в группе ролей и указывать, какие объекты разрешено создавать, изменять или удалять членам группы ролей. Невозможно изменить область чтения в группе ролей.The management role assignments between a role group and a role contain management scopes, which determine what objects are made available to members of that role group. By changing the write scope on a role group, you can change what objects are made available to role group members to create, change, or remove. You can't change the read scope on a role group.

Exchange 2013 включает области, которые по умолчанию применяются к назначению ролей, когда не создаются настраиваемые области.Exchange 2013 includes scopes that are applied by default to role assignments when no custom scopes are created. Чтобы использовать настраиваемую область для назначения роли в группе ролей, необходимо сначала создать такую область.If you want to use a custom scope with a role assignment on a role group, you must create one first. Дополнительные сведения о создании настраиваемых областей, которые являются расширенными задачами, приведены в разделе Создание обычной или монопольной области.For more information about creating custom scopes, which is an advanced task, see Create a regular or exclusive scope.

Дополнительные сведения об областях и назначениях ролей управления в Exchange 2013 можно найти в следующих разделах:For more information about management role scopes and assignments in Exchange 2013, see the following topics:

Использование Центра администрирования Exchange для изменения области в группе ролейUse the EAC to change the scope on a role group

При изменении области в группе ролей с помощью Центра администрирования Exchange фактически меняется область всех назначений ролей между этой группой и каждой назначенной для нее ролью управления.When you use the EAC to change the scope on a role group, you're actually changing the scope on all the role assignments between the role group and each of the management roles assigned to the role group. Если вы хотите изменить область для определенных назначений ролей, необходимо использовать процедуры оболочки, приведенные далее в этом разделе.If you want to change the scope on specific role assignments, you must use the Shell procedures later in this topic.

Важно!

Вы не можете использовать центр администрирования Exchange для управления областями назначений ролей между ролями и группой ролей, если вы использовали командную консоль для настройки нескольких областей или монопольных областей для этих назначений ролей.You can't use the EAC to manage scopes on role assignments between roles and a role group if you've used the Shell to configure multiple scopes or exclusive scopes on those role assignments. Если для этих назначений ролей настроены несколько областей или исключительные области, для управления областями необходимо использовать процедуры командной консоли, описанные далее в этом разделе.If you've configured multiple scopes or exclusive scopes on those role assignments, you must use the Shell procedures later in this topic to manage scopes. Дополнительные сведения об областях ролей управления приведены в разделе Общие сведения об областях ролей управления.For more information about management role scopes, see Understanding management role scopes.

  1. В центре администрирования Exchange откройте раздел Разрешения > Роли администраторов.In the EAC, navigate to Permissions > Admin Roles.

  2. Выберите группу ролей, область которой необходимо изменить, и нажмите кнопку изменить значок редактирования значка.Select the role group you want to change the scope on, and then click Edit Edit icon.

  3. Выберите один из двух следующих параметров для пункта Область записи.Select one of the two following Write scope options:

    • Область записи из раскрывающегося списка, в котором можно выбрать область записи по умолчанию либо пользовательскую область записи.A write scope from the drop-down box, where you can select either the default write scope or a custom write scope.

    • Подразделение: Выберите этот параметр и укажите подразделение (OU), если хотите сделать эту группу РОЛЕЙ подразделением.Organizational unit: Select this option and provide an organizational unit (OU) if you want to scope this role group to an OU.

  4. Нажмите кнопку Сохранить, чтобы сохранить изменения в группе ролей.Click Save to save the changes to the role group.

Использование командной консоли Exchange для изменения областей всех назначений ролей в группе ролей одновременноUse the Shell to change the scope of all role assignments on a role group at the same time

Для назначений ролей между группой ролей и назначенными ей ролями может использоваться неявная область, полученная на основе самих ролей, текущей настраиваемой области или других настраиваемых областей. Дополнительные сведения о назначениях ролей см. в разделе Общие сведения о назначениях ролей управления.Role assignments between the role group and the roles assigned to it can use the implicit scope obtained from the roles themselves, the same custom scope, or different custom scopes. For more information about role assignments, see Understanding management role assignments.

Управлять областями назначений ролей можно с помощью командлета Set-ManagementRoleAssignment. Невозможно управлять областями с помощью командлета Set-RoleGroup.The scopes on the role assignments are managed using the Set-ManagementRoleAssignment cmdlet. You can't manage scopes using the Set-RoleGroup cmdlet.

Чтобы изменить области всех назначений ролей между группой ролей и набором ролей управления одновременно, необходимо получить назначения ролей в группе ролей, а затем установить новую область для каждого назначения. Используйте командлет Get-ManagementRoleAssignment, чтобы получить назначения ролей и передать их по конвейеру командлету Set-ManagementRoleAssignment.To change the scope of all the role assignments between a role group and a set of management roles at the same time, you need to first retrieve the role assignments on the role group, and then set the new scope on each of the assignments. You can do this by using the Get-ManagementRoleAssignment cmdlet to retrieve the role assignments, and then pipe them to the Set-ManagementRoleAssignment cmdlet.

В этой процедуре используются концепции конвейерной обработки и переключателя WhatIf .This procedure uses the concepts of pipelining and the WhatIf switch. Дополнительные сведения приведены в следующих разделах:For more information, see the following topics:

Чтобы установить область для всех назначений ролей в группе ролей одновременно, используйте следующую синтаксическую конструкцию.To set the scope on all of the role assignments on a role group at the same time, use the following syntax.

Get-ManagementRoleAssignment -RoleAssignee <name of role group> | Set-ManagementRoleAssignment -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name> -RecipientRelativeScopeWriteScope < MyDistributionGroups | Organization | Self> -ExclusiveRecipientWriteScope <exclusive recipient scope name> -ExclusiveConfigWriteScope <exclusive configuration scope name> -RecipientOrganizationalUnitScope <organizational unit>

Можно использовать только те параметры, которые требуются для настройки необходимой области. Например, чтобы изменить область получателя для всех назначений ролей в группе ролей «Управление получателями продаж» на «Сотрудники прямых продаж», используйте следующую команду.You use only the parameters you need to configure the scope you want to use. For example, if you want to change the recipient scope for all role assignments on the Sales Recipient Management role group to Direct Sales Employees, use the following command.

Get-ManagementRoleAssignment -RoleAssignee "Sales Recipient Management" | Set-ManagementRoleAssignment -CustomRecipientWriteScope "Direct Sales Employees"

Примечание

Вы можете использовать параметр WhatIf , чтобы убедиться, что изменены только назначения ролей, которые требуется изменить.You can use the WhatIf switch to verify that only the role assignments you want to change are changed. Выполните предыдущую команду с параметром WhatIf , чтобы проверить результаты, а затем удалите параметр WhatIf , чтобы применить изменения.Run the preceding command with the WhatIf switch to verify the results, and then remove the WhatIf switch to apply the changes.

Дополнительные сведения об изменении назначений ролей управления см. в разделе Изменение назначения роли.For more information about changing management role assignments, see Change a role assignment.

Дополнительные сведения о синтаксисе и параметрах см. в разделе Get-ManagementRoleAssignment.For detailed syntax and parameter information, see Get-ManagementRoleAssignment.

Использование командной консоли Exchange для изменения области отдельного назначения роли в группе ролейUse the Shell to change the scope of individual role assignments on a role group

Для назначений ролей между группой ролей и назначенными ей ролями может использоваться неявная область, полученная на основе самих ролей, текущей настраиваемой области или других настраиваемых областей. Дополнительные сведения о назначениях ролей см. в разделе Общие сведения о назначениях ролей управления.Role assignments between the role group and the roles assigned to it can use the implicit scope obtained from the roles themselves, the same custom scope, or different custom scopes. For more information about role assignments, see Understanding management role assignments.

Управлять областями назначений ролей можно с помощью командлета Set-ManagementRoleAssignment. Невозможно управлять областями с помощью командлета Set-RoleGroup.The scopes on the role assignments are managed using the Set-ManagementRoleAssignment cmdlet. You can't manage scopes using the Set-RoleGroup cmdlet.

В этой процедуре используется концепция конвейерной передачи и командлет Format-List. Дополнительные сведения приведены в следующих разделах:This procedure uses the concepts of pipelining and the Format-List cmdlet. For more information, see the following topics:

Чтобы изменить область назначения роли между группой ролей и ролью управления, необходимо найти имя назначения роли и установить область для назначения роли.To change the scope on a role assignment between a role group and a management role, you first find the name of the role assignment, and then set the scope on the role assignment.

  1. Чтобы найти имена всех назначений ролей группы ролей, используйте следующую команду. При передаче по конвейеру назначений ролей управления в командлет Format-List отображается полное имя назначения.To find the names of all the role assignments on a role group, use the following command. By piping the management role assignments to the Format-List cmdlet, you can view the full name of the assignment.

    Get-ManagementRoleAssignment -RoleAssignee <role group name> | Format-List Name
    
  2. Поиск имени назначения роли, которое необходимо изменить. Используйте имя назначения роли на следующем шаге.Find the name of the role assignment you want to change. Use the name of the role assignment in the next step.

  3. Чтобы задать область отдельного назначения, используйте следующую синтаксическую конструкцию.To set the scope on an individual assignment, use the following syntax.

    Set-ManagementRoleAssignment <role assignment name> -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name> -RecipientRelativeScopeWriteScope < MyDistributionGroups | Organization | Self> -ExclusiveRecipientWriteScope <exclusive recipient scope name> -ExclusiveConfigWriteScope <exclusive configuration scope name> -RecipientOrganizationalUnitScope <organizational unit>
    

Можно использовать только те параметры, которые требуются для настройки необходимой области.You use only the parameters you need to configure the scope you want to use. Например, если вы хотите изменить область получателей для назначения роли управления получателями_продаж для всех сотрудников отдела продаж, используйте следующую команду.For example, if you want to change the recipient scope for the Mail Recipients_Sales Recipient Management role assignment to All Sales Employees, use the following command.

Set-ManagementRoleAssignment "Mail Recipients_Sales Recipient Management" -CustomRecipientWriteScope "All Sales Employees"

Дополнительные сведения об изменении назначений ролей управления см. в разделе Изменение назначения роли.For more information about changing management role assignments, see Change a role assignment.

Дополнительные сведения о синтаксисе и параметрах см. в разделе Set-ManagementRoleAssignment.For detailed syntax and parameter information, see Set-ManagementRoleAssignment.

Как проверить, что все получилось?How do you know this worked?

Чтобы убедиться в успешном изменении области назначения ролей для группы ролей, выполните следующие действия.To verify that you have successfully changed the scope of a role assignment on a role group, do the following:

  • Если с целью настройки области для группы ролей использовался Центр администрирования Exchange, выполните следующие действия.If you used the EAC to configure the scope on the role group, do the following:

    1. В Центре администрирования Exchange последовательно выберите Разрешения> Роли администраторов. Здесь перечислены все группы ролей в организации.In the EAC, navigate to Permissions> Admin Roles. All the role groups in your organization are listed here.

    2. Выберите группу ролей, чтобы просмотреть настроенную для нее область.Select a role group to view the scope that's configured on the role group.

  • Если для настройки области в группе ролей использовалась командная консоль, выполните следующие действия:If you used the Shell to configure the scope on the role group, do the following:

    1. Выполните в командной консоли следующую команду.Run the following command in the Shell.

      Get-ManagementRoleAssignment -RoleAssignee <role group name> | Format-Table *WriteScope
      
    2. Убедитесь, что область записи для назначений ролей была изменена на указанную область.Verify that the write scope on the role assignments has been changed to the scope you specified.

Добавление или удаление делегата группы ролейAdd or remove a role group delegate

Делегаты группы ролей — это пользователи или универсальные группы безопасности, которые могут добавлять или удалять членов из группы ролей или изменять ее свойства. Добавляя или удаляя делегатов группы ролей, можно управлять разрешениями на управление группой ролей.Role group delegates are users or universal security groups (USGs) that can add or remove members from a role group or change the properties of a role group. By adding or removing role group delegates, you can control who is allowed to manage a role group.

Важно!

После добавления делегата в группу ролей эта группа может управляться только делегатами группы или пользователями, которым напрямую или косвенно назначена роль управления ролями.After you add a delegate to a role group, the role group can only be managed by the delegates on the role group, or by users who are assigned, either directly or indirectly, the Role Management management role.
Если пользователь напрямую или косвенно назначен на роль управления ролями и не добавлен в качестве делегата группы ролей, для управления этой группой ему необходимо использовать параметр BypassSecurityGroupManagerCheck командлетов Add-RoleGroupMember, Remove-RoleGroupMember, Update-RoleGroupMember и Set-RoleGroup.If a user is assigned, either directly or indirectly, the Role Management role and isn't added as a delegate of the role group, the user must use the BypassSecurityGroupManagerCheck switch on the Add-RoleGroupMember, Remove-RoleGroupMember, Update-RoleGroupMember, and Set-RoleGroup cmdlets to manage a role group.

Примечание

Вы не можете использовать Центр администрирования Exchange для добавления делегата в группу ролей.You can't use the EAC to add a delegate to a role group.

Использование командной консоли для добавления делегата в группу ролейUse the Shell to add a delegate to a role group

Чтобы изменить список делегатов для группы ролей, используйте параметр ManagedBy в командлете Set – RoleGroup .To change the list of delegates on a role group, you use the ManagedBy parameter on the Set-RoleGroup cmdlet. Параметр ManagedBy перезаписывает весь список делегатов в группе ролей.The ManagedBy parameter overwrites the entire delegate list on the role group. При необходимости добавить делегатов в группу ролей вместо замены всего списка делегатов выполните следующие действия:If you want to add delegates to the role group rather than replace the entire list of delegates, use the following steps:

  1. Сохраните группу ролей в переменной с помощью следующей команды.Store the role group in a variable using the following command.

    $RoleGroup = Get-RoleGroup <role group name>
    
  2. Добавьте делегата в группу ролей, сохраненную в переменной, используя следующую команду.Add the delegate to the role group stored in the variable using the following command.

    $RoleGroup.ManagedBy += (Get-User <user to add>).Identity
    

    Примечание

    При необходимости добавить универсальную группу безопасности используйте командлет Get-Group.Use the Get-Group cmdlet if you want to add a USG.

  3. Повторите шаг 2 для каждого делегата, которого необходимо добавить.Repeat Step 2 for each delegate you want to add.

  4. Примените новый список делегатов для текущей группы ролей с помощью следующей команды.Apply the new list of delegates to the actual role group using the following command.

    Set-RoleGroup <role group name> -ManagedBy $RoleGroup.ManagedBy
    

В этом примере в качестве делегата в группу ролей Управление организацией добавляется пользователь Сергей Озеров.This example adds the user David Strome as a delegate on the Organization Management role group.

$RoleGroup = Get-RoleGroup "Organization Management"
$RoleGroup.ManagedBy += (Get-User "David Strome").Identity
Set-RoleGroup "Organization Management" -ManagedBy $RoleGroup.ManagedBy

Дополнительные сведения о синтаксисе и параметрах см. в разделе Set-RoleGroup.For detailed syntax and parameter information, see Set-RoleGroup.

Использование командной консоли для удаления делегата из группы ролейUse the Shell to remove a delegate from a role group

Чтобы изменить список делегатов для группы ролей, используйте параметр ManagedBy в командлете Set – RoleGroup .To change the list of delegates on a role group, you use the ManagedBy parameter on the Set-RoleGroup cmdlet. Параметр ManagedBy перезаписывает весь список делегатов в группе ролей.The ManagedBy parameter overwrites the entire delegate list on the role group. При необходимости удалить делегатов из группы ролей вместо замены всего списка делегатов выполните следующие действия:If you want to remove delegates from the role group rather than replace the entire list of delegates, use the following steps:

  1. Сохраните группу ролей в переменной с помощью следующей команды.Store the role group in a variable using the following command.

    $RoleGroup = Get-RoleGroup <role group name>
    
  2. Удалите делегата из группы ролей, сохраненной в переменной, используя следующую команду.Remove the delegate from the role group stored in the variable using the following command.

    $RoleGroup.ManagedBy -= (Get-User <user to remove>).Identity
    

    Примечание

    При необходимости удалить универсальную группу безопасности используйте командлет Get-Group.Use the Get-Group cmdlet if you want to remove a USG.

  3. Повторите шаг 2 для каждого делегата, которого необходимо удалить.Repeat Step 2 for each delegate you want to remove.

  4. Примените новый список делегатов для текущей группы ролей с помощью следующей команды.Apply the new list of delegates to the actual role group using the following command.

    Set-RoleGroup <role group name> -ManagedBy $RoleGroup.ManagedBy
    

В этом примере в качестве делегата из группы ролей Управление организацией удаляется пользователь Сергей Озеров.This example removes the user David Strome as a delegate on the Organization Management role group.

$RoleGroup = Get-RoleGroup "Organization Management"
$RoleGroup.ManagedBy -= (Get-User "David Strome").Identity
Set-RoleGroup "Organization Management" -ManagedBy $RoleGroup.ManagedBy

Дополнительные сведения о синтаксисе и параметрах см. в разделе Set-RoleGroup.For detailed syntax and parameter information, see Set-RoleGroup.

Как проверить, что все получилось?How do you know this worked?

Чтобы убедиться в успешном изменении списка делегатов для группы ролей, выполните следующие действия.To verify that you have successfully changed the delegate list on a role group, do the following:

  1. В консоли Shell выполните следующую команду:In the Shell, run the following command.

    Get-RoleGroup <role group name> | Format-List ManagedBy
    
  2. Убедитесь, что делегаты, перечисленные в свойстве ManagedBy , содержат только делегаты, которые должны иметь возможность управлять группой ролей.Verify that the delegates listed on the ManagedBy property include only the delegates that should be able to manage the role group.