Управление группами ролей

Область применения: Exchange Server 2013 г.

В этом разделе показано, как добавлять, удалять, копировать и просматривать группы ролей управления в Microsoft Exchange Server 2013 г. В ней также показано, как добавлять, удалять и перечислять роли управления в группах ролей, а также изменять области управления и делегаты в группах ролей. Дополнительные сведения о группах ролей в Exchange 2013 см. в статье Общие сведения о группах ролей управления.

Дополнительные сведения о задачах управления, связанных с группами ролей, см. в разделе Разрешения.

Что нужно знать перед началом работы

• Предполагаемое время для завершения каждой процедуры: от 5 до 10 минут

• Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "Группы ролей" в разделе Разрешения для управления ролями .

• Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.

Совет

Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по адресу Exchange Server.

Создание группы ролей

Если нужно настроить разрешения, которые можно назначить группе пользователей, создайте новую настраиваемую группу ролей управления.

Использование Центра администрирования Exchange для создания группы ролей

1. В Центре администрирования Exchange перейдите в раздел Разрешения>Администратор Роли и щелкните Добавить.

2. В окне Новая группа ролей укажите имя новой группы.

3. Вы можете сразу выбрать роли, которые требуется назначить группе ролей, и членов, которых требуется добавить к группе ролей, или сделать это позднее.

4. Выберите область записи, которую требуется применить к новой группе ролей.

5. Нажмите кнопку Сохранить, чтобы создать группу.

Создание группы ролей с помощью оболочки

Сведения о создании группы ролей см. в разделе Examples статьи New-RoleGroup.

Откуда вы знаете, что это сработает?

Чтобы убедиться в успешном создании группы ролей, выполните следующие действия.

1. В EAC перейдите в раздел Разрешения>Администратор Роли.

2. Убедитесь, что новая группа ролей отображается в списке групп ролей, и выберите ее.

3. Убедитесь, что члены, назначенные роли и область, которые вы указали для новой группы ролей, перечислены в области сведений группы ролей.

Копирование группы ролей

Использование Центра администрирования Exchange для копирования группы ролей

Если при предоставлении разрешений группы ролей другим пользователям необходимо применить другую область управления, удалить либо добавить одну или несколько ролей управления без необходимости добавлять все роли вручную, можно скопировать существующую группу ролей.

Важно!

Вы не можете использовать EAC для копирования группы ролей, если вы использовали командную консоль Exchange для настройки нескольких областей ролей управления или монопольных областей в группе ролей. Если для группы ролей настроены несколько областей или монопольная область, то для копирования группы ролей необходимо использовать процедуры командной консоли, описанные далее в этом разделе. Дополнительные сведения об областях ролей управления см. в статье Основные сведения о областях ролей управления.

1. В EAC перейдите в раздел Разрешения>Администратор Роли.

2. Выберите группу ролей, которую нужно скопировать, и нажмите кнопку .

3. В окне Новая группа ролей укажите имя новой группы.

4. Просмотрите роли, которые были скопированы в новую группу ролей. Добавьте или удалите роли при необходимости.

5. Просмотрите область записи и при необходимости измените ее.

6. Просмотрите членов, которые были скопированы в новую группу ролей. Добавьте или удалите членов при необходимости.

7. Нажмите кнопку Сохранить, чтобы создать группу.

Использование командной консоли для копирования группы ролей без области действия

1. Сохраните группу ролей, которую необходимо копировать, в переменной с помощью следующей синтаксической конструкции:

   $RoleGroup = Get-RoleGroup <name of role group to copy>
   

2. Создайте новую группу ролей, добавьте в нее членов и укажите пользователей, которые могут делегировать новую группу ролей другим пользователям, с помощью следующего синтаксиса.

   New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -Members <member1, member2, member3...> -ManagedBy <user1, user2, user3...>
   

Например, следующие команды копируют группу ролей «Organization Management» и присваивают новой группе ролей имя «Limited Organization Management». В группу добавляются члены Isabelle, Carter и Lukas и назначаются пользователи, которые могут делегировать группу ролей: Jenny и Katie.

$RoleGroup = Get-RoleGroup "Organization Management"
New-RoleGroup "Limited Organization Management" -Roles $RoleGroup.Roles -Members Isabelle, Carter, Lukas -ManagedBy Jenny, Katie

После создания группы ролей в нее можно добавлять роли или удалять роли из нее, изменять область назначений ролей и т. д.

Дополнительные сведения о синтаксисе и параметрах см. в разделах Get-RoleGroup и New-RoleGroup.

Использование командной консоли для копирования группы ролей с настраиваемой областью

1. Сохраните группу ролей, которую необходимо копировать, в переменной с помощью следующей синтаксической конструкции:

   $RoleGroup = Get-RoleGroup <name of role group to copy>
   

2. Создайте новую группу ролей с настраиваемой областью с помощью следующей синтаксической конструкции:

   New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuraiton scope name>
   

Например, следующие команды копируют группу ролей «Organization Management» и создают новую группу ролей с именем «Vancouver Organization Management» с областью получателей «Vancouver Users» и областью конфигурации «Vancouver Servers».

$RoleGroup = Get-RoleGroup "Organization Management"
New-RoleGroup "Vancouver Organization Management" -Roles $RoleGroup.Roles -CustomRecipientWriteScope "Vancouver Users" -CustomConfigWriteScope "Vancouver Servers"

Вы также можете добавить участников в группу ролей при ее создании с помощью параметра Members , как показано в разделе Использование оболочки для копирования группы ролей без области действия, описанной выше в этом разделе. Дополнительные сведения об областях управления см. в разделе Общие сведения об областях ролей управления.

После создания группы ролей в нее можно добавлять роли или удалять роли из нее, изменять область назначений ролей и выполнять другие задачи.

Дополнительные сведения о синтаксисе и параметрах см. в разделах Get-RoleGroup и New-RoleGroup.

Использование командной консоли для копирования группы ролей с областью подразделения

1. Сохраните группу ролей, которую необходимо копировать, в переменной с помощью следующей синтаксической конструкции:

   $RoleGroup = Get-RoleGroup <name of role group to copy>
   

2. Создайте новую группу ролей с настраиваемой областью с помощью следующей синтаксической конструкции:

   New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -RecipientOrganizationalUnitScope <OU name>
   

Например, следующие команды копируют группу ролей «Recipient Management» и создают новую группу ролей с именем «Toronto Recipient Management», которая позволяет управлять только пользователями в подразделении «Toronto Users».

$RoleGroup = Get-RoleGroup "Recipient Management"
New-RoleGroup "Toronto Recipient Management" -Roles $RoleGroup.Roles -RecipientOrganizationalUnitScope "contoso.com/Toronto Users"

Вы также можете добавить участников в группу ролей при ее создании с помощью параметра Members , как показано в разделе Использование оболочки для копирования группы ролей без области действия, описанной выше в этом разделе. Дополнительные сведения об областях управления см. в разделе Общие сведения об областях ролей управления.

После создания группы ролей в нее можно добавлять роли или удалять роли из нее, изменять область назначений ролей и т. д.

Дополнительные сведения о синтаксисе и параметрах см. в разделах Get-RoleGroup и New-RoleGroup.

Откуда вы знаете, что это сработает?

Чтобы убедиться в успешном копировании группы ролей, выполните следующие действия.

1. В EAC перейдите в раздел Разрешения>Администратор Роли.

2. Убедитесь, что скопированная группа ролей отображается в списке групп ролей, и выберите ее.

3. Убедитесь, что члены, назначенные роли и область, которые вы указали для скопированной группы ролей, перечислены в области сведений группы ролей.

Удаление группы ролей

Если созданная группа ролей больше не нужна, ее можно удалить. При удалении группы ролей также удаляются и назначения управления ролями между группой ролей и ролями управления. Сами роли управления не удаляются. Если доступ пользователя к функции зависел от группы ролей, пользователь не будет иметь доступа к функции. Встроенные группы ролей удалить невозможно.

Использование Центра администрирования Exchange для удаления группы ролей

1. В EAC перейдите в раздел Разрешения>Администратор Роли.

2. Выберите группу ролей, которую нужно удалить, и нажмите кнопку Удалить.

3. Убедитесь, что вы хотите удалить выбранную группу ролей, и, если это так, выберите Да в качестве ответа на предупреждение.

Использование командной консоли для удаления группы ролей

Сведения об удалении группы ролей см. в разделе Examples статьи Remove-RoleGroup.

Просмотр групп ролей

Вы можете просмотреть список групп ролей или подробные сведения о конкретной группе ролей, существующей в организации.

Использование Центра администрирования Exchange для просмотра списка групп ролей и сведений о них

1. В EAC перейдите в раздел Разрешения>Администратор Роли. Здесь перечислены все группы ролей в организации.

2. Выберите группу ролей для просмотра членов, назначенных ролей и области, настроенных для группы ролей.

Использование оболочки для просмотра списка групп ролей и сведений о группах ролей

Сведения о просмотре списка групп ролей см. в разделе Examples статьи Get-RoleGroup.

Добавление роли в группу ролей

Добавление роли управления в группу ролей является самым лучшим и простым способом предоставления разрешений группе администраторов или пользователей-специалистов. Если следует предоставить пользователям, являющимся членами группы ролей, возможность управлять определенной возможностью, следует добавить в группу ролей роль управления, которая отвечает за управление этой возможностью. После добавления роли членам группы ролей предоставляются разрешения, обеспечиваемые данной ролью.

Использование Центра администрирования Exchange для добавления роли управления в группу ролей

Важно!

Вы не можете использовать EAC для добавления ролей в группу ролей, если вы использовали оболочку для настройки нескольких областей ролей управления или монопольных областей в группе ролей. Если вы настроили несколько областей или монопольных областей в группе ролей, необходимо использовать процедуры оболочки далее в этом разделе, чтобы добавить роли в группу ролей. Дополнительные сведения об областях ролей управления см. в статье Основные сведения о областях ролей управления.

1. В EAC перейдите в раздел Разрешения>Администратор Роли.

2. Выберите группу ролей, в которую вы хотите добавить роль, и нажмите кнопку Изменить.

3. В разделе Роли выберите роли, которые требуется добавить в группу ролей.

4. Когда добавление ролей в группу ролей завершено, нажмите кнопку Сохранить.

Использование оболочки для создания назначения ролей без области

Можно создать назначение роли без области между ролью и группой ролей. При этом применяются неявные области чтения и записи роли.

Используйте следующий синтаксис для назначения группе ролей роли без области. Если имя назначения роли не задано, оно создается автоматически.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name>

В этом примере группе ролей Seattle Compliance назначается роль управления Transport Rules.

New-ManagementRoleAssignment -SecurityGroup "Seattle Compliance" -Role "Transport Rules"

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

Использование оболочки для создания назначения ролей с предопределенной областью

Если предварительно определенная область соответствует потребностям организации, можно применить эту область к назначению роли, а не создавать новую. Список стандартных областей и их описания см. в разделе Общие сведения о областях ролей управления.

Дополнительные сведения о назначениях ролей см. в разделе Общие сведения о назначениях ролей управления.

Используйте следующий синтаксис для назначения группе ролей роли с предварительно определенной областью. Если имя назначения роли не задано, оно создается автоматически.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -RecipientRelativeWriteScope < MyGAL | MyDistributionGroups | Organization | Self >

В этом примере роль Message Tracking назначается группе ролей Enterprise Support, затем применяется предварительно определенная область Organization.

New-ManagementRoleAssignment -SecurityGroup "Enterprise Support" -Role "Message Tracking" -RecipientRelativeWriteScope Organization

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

Использование оболочки для создания назначения ролей с областью на основе фильтра получателя

Если вы создали область на основе фильтра получателей, необходимо включить область в команду, используемую для назначения роли группе ролей с помощью параметра CustomRecipientWriteScope .

Также можно включить область записи конфигурации при создании назначения роли с областью, основанной на фильтре получателей.

Дополнительные сведения о назначениях ролей и областях см. в следующих разделах:

• Общие сведения о назначениях ролей управления

• Общие сведения об областях ролей управления

Используйте следующий синтаксис для назначения роли группе ролей с областью, основанной на фильтре получателей. Если имя назначения роли не задано, оно создается автоматически.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -CustomRecipientWriteScope <role scope name>

В этом примере роль Message Tracking назначается группе ролей Seattle Recipient Admins, затем применяется область Seattle Recipients.

New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Message Tracking" -CustomRecipientWriteScope "Seattle Recipients"

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

Использование оболочки для создания назначения ролей с областью конфигурации

Если вы создали фильтр конфигурации сервера или базы данных или область на основе списка, необходимо включить область в команду, используемую для назначения роли группе ролей с помощью параметра CustomConfigWriteScope .

Также можно включить область записи получателей при создании назначения роли с областью, основанной на фильтре конфигураций.

Дополнительные сведения о назначениях ролей и областях управления см. в следующих разделах:

• Общие сведения о назначениях ролей управления

• Общие сведения об областях ролей управления

Используйте следующий синтаксис для назначения группе ролей роли с областью конфигурации. Если имя назначения роли не задано, оно создается автоматически.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -CustomConfigWriteScope <role scope name>

В этом примере роль Databases назначается группе ролей Seattle Server Admins, затем применяется область Seattle Servers.

New-ManagementRoleAssignment -SecurityGroup "Seattle Server Admins" -Role "Databases" -CustomConfigWriteScope "Seattle Servers"

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

Использование оболочки для создания назначения ролей с областью подразделения

Если вы хотите ограничить область записи роли подразделением, можно указать подразделение в параметре RecipientOrganizationalUnitScope напрямую.

Область записи конфигурации. Определяет объекты сервера и организации, которые участники группы ролей могут изменять в exADNoMk.

• Общие сведения о назначениях ролей управления

• Общие сведения об областях ролей управления

Используйте приведенную ниже команду для назначения роли группе ролей и ограничения области записи роли определенным подразделением. Если имя назначения роли не задано, оно создается автоматически.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -RecipientOrganizationalUnitScope <OU>

В этом примере роль Mail Recipients назначается группе ролей Seattle Recipient Admins, затем область действия этого назначения сужается до подразделения Sales\Users в домене Contoso.com.

New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

Откуда вы знаете, что это сработает?

Чтобы убедиться в успешном добавлении ролей в группу ролей, выполните следующие действия.

1. В EAC перейдите в раздел Разрешения>Администратор Роли.

2. Выберите группу ролей, в которую вы добавили роли. Убедитесь в наличии добавленных ролей на панели сведений группы ролей.

Удаление роли из группы ролей

Удаление роли из группы ролей управления является самым лучшим и простым способом отзыва разрешений, предоставленных группе администраторов или пользователей-специалистов. Если отсутствует необходимость в предоставлении администраторам или пользователям-специалистам разрешений на управление функцией, следует удалить роль управления из группы ролей управления, управляющей разрешениями. После удаления роли члены группы ролей больше не имеют допуска к управлению функцией.

Примечание.

Некоторые группы ролей, например группа ролей "Управление организацией", ограничивают, какие роли можно удалить из группы ролей. Дополнительные сведения см. в разделе Общие сведения о группах ролей управления.

Если администратор входит в состав другой группы ролей, которая содержит роли управления, позволяющие управлять функцией, необходимо либо удалить администратора из других групп ролей, либо удалить роль, которая предоставляет доступ к управлению функцией из других групп ролей.

Использование Центра администрирования Exchange для удаления роли управления из группы ролей

Важно!

Вы не можете использовать EAC для удаления ролей из группы ролей, если вы использовали оболочку для настройки нескольких областей или монопольных областей в группе ролей. При выполненной настройке нескольких областей или монопольных областей для группы ролей необходимо использовать процедуры командной строки для удаления ролей из группы ролей, рассматриваемые далее в этом разделе. Дополнительные сведения об областях ролей управления см. в статье Основные сведения о областях ролей управления.

1. В EAC перейдите в раздел Разрешения>Администратор Роли.

2. Выберите группу ролей, из которой нужно удалить роль, и нажмите кнопку Изменить.

3. В разделе Роли выберите роли, которые требуется удалить из группы ролей.

4. Когда удаление ролей из группы ролей завершено, нажмите кнопку Сохранить.

Удаление роли из группы ролей с помощью командной консоли Exchange

Можно удалить роли из группы ролей при получении назначения связанной роли управления с использованием командлета Get-ManagementRoleAssignment и последующей передачи назначения роли обратно в командлет Remove-ManagementRoleAssignment. Если вы не хотите одновременно удалить делегированные и регулярные назначения ролей, укажите параметр Делегирование , чтобы указать, нужно ли удалять обычные или делегированные назначения ролей.

Дополнительные сведения о стандартных и делегированных назначениях ролей см. в разделе Общие сведения о назначениях ролей управления.

В этой процедуре используется конвейеризация. Дополнительные сведения о конвейерной подготовке см. в разделе about_Pipelines.

Для удаления роли из группы ролей используйте следующий синтаксис.

Get-ManagementRoleAssignment -RoleAssignee <role group name> -Role <role name> -Delegating <$true | $false> | Remove-ManagementRoleAssignment

В этом примере роль групп рассылки, позволяющая администраторам управлять группами рассылки, удаляется из группы ролей Seattle Recipient Administrators. Так как мы хотим удалить назначение ролей, предоставляющее разрешения на управление группами рассылки, параметр Делегации имеет значение $False, который возвращает только обычные назначения ролей.

Get-ManagementRoleAssignment -RoleAssignee "Seattle Recipient Administrators" -Role "Distribution Groups" -Delegating $false | Remove-ManagementRoleAssignment

Дополнительные сведения о синтаксисе и параметрах см. в разделе Remove-ManagementRoleAssignment.

Откуда вы знаете, что это сработает?

Чтобы убедиться в успешном удалении ролей из группы ролей, выполните следующие действия.

1. В EAC перейдите в раздел Разрешения>Администратор Роли.

2. Выберите группу ролей, из которой вы удалили роли. Убедитесь в отсутствии удаленных ролей на панели сведений группы ролей.

Изменение области группы ролей

Назначения ролей управления между группой ролей и ролью включают в себя области управления, определяющие объекты, которые будут доступны членам этой группы ролей. Можно изменять область записи в группе ролей и указывать, какие объекты разрешено создавать, изменять или удалять членам группы ролей. Невозможно изменить область чтения в группе ролей.

Exchange 2013 включает области, которые по умолчанию применяются к назначениям ролей, когда пользовательские области не создаются. Чтобы использовать настраиваемую область для назначения роли в группе ролей, необходимо сначала создать такую область. Дополнительные сведения о создании пользовательских областей, что является сложной задачей, см. в разделе Создание обычной или монопольной области.

Дополнительные сведения о областях и назначениях ролей управления в Exchange 2013 см. в следующих разделах:

• Общие сведения об областях ролей управления

• Общие сведения о назначениях ролей управления

Использование Центра администрирования Exchange для изменения области в группе ролей

При изменении области в группе ролей с помощью Центра администрирования Exchange фактически меняется область всех назначений ролей между этой группой и каждой назначенной для нее ролью управления. Если вы хотите изменить область для конкретных назначений ролей, необходимо использовать процедуры оболочки далее в этом разделе.

Важно!

Вы не можете использовать EAC для управления областями назначения ролей между ролями и группой ролей, если вы использовали оболочку для настройки нескольких областей или монопольных областей для этих назначений ролей. Если для этих назначений ролей настроены несколько областей или исключительные области, для управления областями необходимо использовать процедуры командной консоли, описанные далее в этом разделе. Дополнительные сведения об областях ролей управления см. в статье Основные сведения о областях ролей управления.

1. В EAC перейдите в раздел Разрешения>Администратор Роли.

2. Выберите группу ролей, в которой нужно изменить область, и нажмите кнопку Изменить.

3. Выберите один из двух следующих параметров для пункта Область записи.

   • Область записи из раскрывающегося списка, в котором можно выбрать область записи по умолчанию либо пользовательскую область записи.

   • Подразделение. Выберите этот параметр и укажите подразделение, если вы хотите ограничить эту группу ролей подразделением.

4. Нажмите кнопку Сохранить, чтобы сохранить изменения в группе ролей.

Использование командной консоли Exchange для изменения областей всех назначений ролей в группе ролей одновременно

Для назначений ролей между группой ролей и назначенными ей ролями может использоваться неявная область, полученная на основе самих ролей, текущей настраиваемой области или других настраиваемых областей. Дополнительные сведения о назначениях ролей см. в разделе Общие сведения о назначениях ролей управления.

Управлять областями назначений ролей можно с помощью командлета Set-ManagementRoleAssignment. Невозможно управлять областями с помощью командлета Set-RoleGroup.

Чтобы изменить области всех назначений ролей между группой ролей и набором ролей управления одновременно, необходимо получить назначения ролей в группе ролей, а затем установить новую область для каждого назначения. Используйте командлет Get-ManagementRoleAssignment, чтобы получить назначения ролей и передать их по конвейеру командлету Set-ManagementRoleAssignment.

В этой процедуре используются понятия конвейерной обработки и переключателя WhatIf . Дополнительную информацию см. в следующих статьях:

• about_Pipelines

• Параметры WhatIf, Confirm и ValidateOnly

Чтобы установить область для всех назначений ролей в группе ролей одновременно, используйте следующую синтаксическую конструкцию.

Get-ManagementRoleAssignment -RoleAssignee <name of role group> | Set-ManagementRoleAssignment -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name> -RecipientRelativeScopeWriteScope < MyDistributionGroups | Organization | Self> -ExclusiveRecipientWriteScope <exclusive recipient scope name> -ExclusiveConfigWriteScope <exclusive configuration scope name> -RecipientOrganizationalUnitScope <organizational unit>

Можно использовать только те параметры, которые требуются для настройки необходимой области. Например, чтобы изменить область получателя для всех назначений ролей в группе ролей «Управление получателями продаж» на «Сотрудники прямых продаж», используйте следующую команду.

Get-ManagementRoleAssignment -RoleAssignee "Sales Recipient Management" | Set-ManagementRoleAssignment -CustomRecipientWriteScope "Direct Sales Employees"

Примечание.

Вы можете использовать параметр WhatIf , чтобы убедиться, что изменяются только назначения ролей, которые вы хотите изменить. Выполните предыдущую команду с параметром WhatIf , чтобы проверить результаты, а затем удалите параметр WhatIf , чтобы применить изменения.

Дополнительные сведения об изменении назначений ролей управления см. в разделе Изменение назначения роли.

Дополнительные сведения о синтаксисе и параметрах см. в разделе Get-ManagementRoleAssignment.

Использование командной консоли Exchange для изменения области отдельного назначения роли в группе ролей

Для назначений ролей между группой ролей и назначенными ей ролями может использоваться неявная область, полученная на основе самих ролей, текущей настраиваемой области или других настраиваемых областей. Дополнительные сведения о назначениях ролей см. в разделе Общие сведения о назначениях ролей управления.

Управлять областями назначений ролей можно с помощью командлета Set-ManagementRoleAssignment. Невозможно управлять областями с помощью командлета Set-RoleGroup.

В этой процедуре используется концепция конвейерной передачи и командлет Format-List. Дополнительную информацию см. в следующих статьях:

• about_Pipelines

• Работа с выходными данными команды

Чтобы изменить область назначения роли между группой ролей и ролью управления, необходимо найти имя назначения роли и установить область для назначения роли.

1. Чтобы найти имена всех назначений ролей группы ролей, используйте следующую команду. При передаче по конвейеру назначений ролей управления в командлет Format-List отображается полное имя назначения.

   Get-ManagementRoleAssignment -RoleAssignee <role group name> | Format-List Name
   

2. Поиск имени назначения роли, которое необходимо изменить. Используйте имя назначения роли на следующем шаге.

3. Чтобы задать область отдельного назначения, используйте следующую синтаксическую конструкцию.

   Set-ManagementRoleAssignment <role assignment name> -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name> -RecipientRelativeScopeWriteScope < MyDistributionGroups | Organization | Self> -ExclusiveRecipientWriteScope <exclusive recipient scope name> -ExclusiveConfigWriteScope <exclusive configuration scope name> -RecipientOrganizationalUnitScope <organizational unit>
   

Можно использовать только те параметры, которые требуются для настройки необходимой области. Например, чтобы изменить область получателя для назначения роли «Управление получателями почты/продаж» на «Все сотрудники продаж», используйте следующую команду.

Set-ManagementRoleAssignment "Mail Recipients_Sales Recipient Management" -CustomRecipientWriteScope "All Sales Employees"

Дополнительные сведения об изменении назначений ролей управления см. в разделе Изменение назначения роли.

Дополнительные сведения о синтаксисе и параметрах см. в разделе Set-ManagementRoleAssignment.

Откуда вы знаете, что это сработает?

Чтобы убедиться в успешном изменении области назначения ролей для группы ролей, выполните следующие действия.

• Если с целью настройки области для группы ролей использовался Центр администрирования Exchange, выполните следующие действия.

  1. В EAC перейдите в раздел Разрешения>Администратор Роли. Здесь перечислены все группы ролей в организации.

  2. Выберите группу ролей, чтобы просмотреть настроенную для нее область.

• Если вы использовали оболочку для настройки области в группе ролей, выполните следующие действия.

  1. Выполните в командной консоли следующую команду.

     Get-ManagementRoleAssignment -RoleAssignee <role group name> | Format-Table *WriteScope
     

  2. Убедитесь, что область записи для назначений ролей была изменена на указанную область.

Добавление или удаление делегата группы ролей

Делегаты группы ролей — это пользователи или универсальные группы безопасности, которые могут добавлять или удалять членов из группы ролей или изменять ее свойства. Добавляя или удаляя делегатов группы ролей, можно управлять разрешениями на управление группой ролей.

Важно!

После добавления делегата в группу ролей эта группа может управляться только делегатами группы или пользователями, которым напрямую или косвенно назначена роль управления ролями.

Если пользователь напрямую или косвенно назначен на роль управления ролями и не добавлен в качестве делегата группы ролей, для управления этой группой ему необходимо использовать параметр BypassSecurityGroupManagerCheck командлетов Add-RoleGroupMember, Remove-RoleGroupMember, Update-RoleGroupMember и Set-RoleGroup.

Примечание.

Вы не можете использовать Центр администрирования Exchange для добавления делегата в группу ролей.

Использование командной консоли для добавления делегата в группу ролей

Чтобы изменить список делегатов в группе ролей, используйте параметр ManagedBy в командлете Set-RoleGroup . Параметр ManagedBy перезаписывает весь список делегатов в группе ролей. При необходимости добавить делегатов в группу ролей вместо замены всего списка делегатов выполните следующие действия:

1. Сохраните группу ролей в переменной с помощью следующей команды.

   $RoleGroup = Get-RoleGroup <role group name>
   

2. Добавьте делегата в группу ролей, сохраненную в переменной, используя следующую команду.

   $RoleGroup.ManagedBy += (Get-User <user to add>).Identity
   

   Примечание.

   При необходимости добавить универсальную группу безопасности используйте командлет Get-Group.

3. Повторите шаг 2 для каждого делегата, которого необходимо добавить.

4. Примените новый список делегатов для текущей группы ролей с помощью следующей команды.

   Set-RoleGroup <role group name> -ManagedBy $RoleGroup.ManagedBy
   

В этом примере в качестве делегата в группу ролей Управление организацией добавляется пользователь Сергей Озеров.

$RoleGroup = Get-RoleGroup "Organization Management"
$RoleGroup.ManagedBy += (Get-User "David Strome").Identity
Set-RoleGroup "Organization Management" -ManagedBy $RoleGroup.ManagedBy

Дополнительные сведения о синтаксисе и параметрах см. в разделе Set-RoleGroup.

Использование командной консоли для удаления делегата из группы ролей

Чтобы изменить список делегатов в группе ролей, используйте параметр ManagedBy в командлете Set-RoleGroup . Параметр ManagedBy перезаписывает весь список делегатов в группе ролей. При необходимости удалить делегатов из группы ролей вместо замены всего списка делегатов выполните следующие действия:

1. Сохраните группу ролей в переменной с помощью следующей команды.

   $RoleGroup = Get-RoleGroup <role group name>
   

2. Удалите делегата из группы ролей, сохраненной в переменной, используя следующую команду.

   $RoleGroup.ManagedBy -= (Get-User <user to remove>).Identity
   

   Примечание.

   При необходимости удалить универсальную группу безопасности используйте командлет Get-Group.

3. Повторите шаг 2 для каждого делегата, которого необходимо удалить.

4. Примените новый список делегатов для текущей группы ролей с помощью следующей команды.

   Set-RoleGroup <role group name> -ManagedBy $RoleGroup.ManagedBy
   

В этом примере в качестве делегата из группы ролей Управление организацией удаляется пользователь Сергей Озеров.

$RoleGroup = Get-RoleGroup "Organization Management"
$RoleGroup.ManagedBy -= (Get-User "David Strome").Identity
Set-RoleGroup "Organization Management" -ManagedBy $RoleGroup.ManagedBy

Дополнительные сведения о синтаксисе и параметрах см. в разделе Set-RoleGroup.

Откуда вы знаете, что это сработает?

Чтобы убедиться в успешном изменении списка делегатов для группы ролей, выполните следующие действия.

1. В консоли Shell выполните следующую команду:

   Get-RoleGroup <role group name> | Format-List ManagedBy
   

2. Убедитесь, что делегаты, перечисленные в свойстве ManagedBy , включают только делегатов, которые должны иметь возможность управлять группой ролей.