管理角色角色Exchange Server

管理角色组是 USG 的通用安全组 (,) 中基于角色的访问控制 (RBAC) 权限Exchange Server。 管理角色组可简化向用户组分配管理角色。 角色组的所有成员都被授予相同的角色集。 有关角色组中角色组Exchange Server,请参阅了解管理角色组

有关角色组相关的其他管理任务,请参阅 权限

开始前,需要知道什么?

提示

遇到问题?请访问以下 Exchange 论坛寻求帮助:Exchange ServerExchange OnlineExchange Online Protection

创建角色组

如果要自定义可以分配给用户组的权限,请新建一个自定义管理角色组。

使用 EAC 创建角色组

  1. In the Exchange admin center (EAC) , navigate to Permissions > Admin Roles, and then click Add Add icon..

  2. "新建角色组 "窗口中,提供新角色组的名称。

  3. 您可以现在选择要分配给角色组的角色以及要添加到角色组的成员,也可以另选时间执行此操作。

  4. 选择要应用于新角色组的写入作用域。

  5. 单击“保存”创建角色组。

使用Exchange命令行管理程序创建角色组

To create a role group, see the Examples section in New-RoleGroup.

如何判断是否生效?

若要验证是否已成功创建了角色组,请执行以下操作:

  1. 在 EAC 中,导航到 "权限"" > 管理员角色"

  2. 验证新的角色组是否显示在角色组列表中,然后选择它。

  3. 验证在新角色组上指定的成员、分配的角色和作用域是否在角色组详细信息窗格中列出。

复制角色组

使用 EAC 复制角色组

如果您拥有的角色组包含您希望授予用户的权限,但您希望在无须手动添加所有其他角色的情况下应用其他管理作用域,或删除或添加一个或两个管理角色,则您可以复制现有角色组。

重要

如果已经使用 Exchange 命令行管理程序在角色组上配置多个管理角色作用域或独占作用域,则无法使用 EAC 复制角色组。 如果角色组上配置了多个作用域或独占作用域,则必须使用本主题稍后介绍的 Exchange 命令行管理程序 过程复制角色组。 有关管理角色作用域详细信息,请参阅 了解管理角色作用域

  1. 在 EAC 中,导航到 "权限"" > 管理员角色"

  2. 选择要复制的角色组,然后单击复制 复制图标

  3. "新建角色组 "窗口中,提供新角色组的名称。

  4. 审查已复制到新角色组的角色。根据需要添加或删除角色。

  5. 审查写入作用域,并根据需要更改。

  6. 审查已复制到新角色组的成员。根据需要添加或删除成员。

  7. 单击“保存”创建角色组。

使用 Exchange命令行管理程序复制无作用域的角色组

  1. 请使用以下语法将想要复制的角色组存储在变量中。

    $RoleGroup = Get-RoleGroup <name of role group to copy>
    
  2. 请使用以下语法创建新角色组,并将成员添加到该角色组,然后指定可以将该角色组委派给其他用户的用户。

    New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -Members <member1, member2, member3...> -ManagedBy <user1, user2, user3...>
    

    例如,使用以下命令复制"Organization Management"角色组并将新角色组命名为"Limited Organization Management"。将添加成员 Isabelle、Carter 和 Lukas,并可由 Jenny 和 Katie 进行委派。

    $RoleGroup = Get-RoleGroup "Organization Management"
    New-RoleGroup "Limited Organization Management" -Roles $RoleGroup.Roles -Members Isabelle, Carter, Lukas -ManagedBy Jenny, Katie
    

创建新角色组后,可以添加或删除角色、更改角色的角色分配范围以及执行其他操作。

有关语法和参数的详细信息,请参阅 Get-RoleGroupNew-RoleGroup

使用 Exchange 命令行管理程序 复制具有自定义作用域的角色组

  1. 请使用以下语法将想要复制的角色组存储在变量中。

    $RoleGroup = Get-RoleGroup <name of role group to copy>
    
  2. 请使用以下语法创建有自定义作用域的新角色组。

    New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name>
    

例如,使用以下命令复制"Organization Management"角色组并创建名为"Vancouver Organization Management"的新角色组,该角色组具有"Vancouver Users"收件人作用域和"Vancouver Servers configuration"配置作用域。

$RoleGroup = Get-RoleGroup "Organization Management"
New-RoleGroup "Vancouver Organization Management" -Roles $RoleGroup.Roles -CustomRecipientWriteScope "Vancouver Users" -CustomConfigWriteScope "Vancouver Servers"

使用本主题前面使用 Exchange 命令行管理程序创建没有作用域的 角色分配 中的 Members 参数创建角色组时,还可以向角色组添加成员。 有关管理作用域的详细信息,请参阅Understanding Management Scopes

创建新角色组后,可以添加或删除角色、更改角色的角色分配范围以及执行其他任务。

有关语法和参数的详细信息,请参阅 Get-RoleGroupNew-RoleGroup

使用 Exchange命令行管理程序复制具有 OU 作用域的角色组

  1. 请使用以下语法将想要复制的角色组存储在变量中。

    $RoleGroup = Get-RoleGroup <name of role group to copy>
    
  2. 请使用以下语法创建有自定义作用域的新角色组。

    New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -RecipientOrganizationalUnitScope <OU name>
    

例如,使用以下命令复制"Recipient Management"角色组并创建名为"Toronto Recipient Management"的新角色组,该角色组允许在"Toronto Users"OU 中仅管理用户。

$RoleGroup = Get-RoleGroup "Recipient Management"
New-RoleGroup "Toronto Recipient Management" -Roles $RoleGroup.Roles -RecipientOrganizationalUnitScope "contoso.com/Toronto Users"

使用本主题前面使用 Exchange 命令行管理程序创建没有作用域的 角色分配 中的 Members 参数创建角色组时,还可以向角色组添加成员。 有关管理作用域的详细信息,请参阅Understanding Management Scopes

创建新角色组后,可以添加或删除角色、更改角色的角色分配范围以及执行其他操作。

有关语法和参数的详细信息,请参阅 Get-RoleGroupNew-RoleGroup

如何判断是否生效?

若要验证是否已成功复制了角色组,请执行以下操作:

  1. 在 EAC 中,导航到 "权限"" > 管理员角色"

  2. 验证已复制的角色组是否显示在角色组列表中,然后选择它。

  3. 验证在已复制的角色组上指定的成员、分配的角色和作用域是否在角色组详细信息窗格中列出。

删除角色组

如果不再需要所创建的角色组,则可以将其删除。删除角色组时,也将删除角色组和管理角色之间的管理角色分配。管理角色不会被删除。如果用户依赖于此角色组来访问某个功能,则该用户将不再拥有访问此功能的权限。无法删除内置角色组。

使用 EAC 删除角色组

  1. 在 EAC 中,导航到 "权限"" > 管理员角色"

  2. 选择要删除的角色组,然后单击"删除删除"图标

  3. 确认要删除所选角色组,如果是,则对警告做出 " 是"响应。

使用Exchange命令行管理程序删除角色组

To remove a role group, see the Examples section in Remove-RoleGroup.

查看角色组

您可以查看角色组的列表,也可以查看有关组织中存在的特定角色组的详细信息。

使用 EAC 查看角色组列表和角色组详细信息

  1. 在 EAC 中,导航到 "权限"" > 管理员角色"。 这里列出了你组织中的所有角色组。

  2. 选择一个角色组,以查看角色组上配置的成员、分配的角色和作用域。

使用Exchange命令行管理程序查看角色组和角色组详细信息的列表

To view a list of role groups, see the Examples section in Get-RoleGroup.

向角色组添加角色

将管理角色添加到角色组是向一组管理员或专家用户授予权限的最好且最简单的方式。如果要使作为角色组成员的用户能够管理某个功能,需要将管理该功能的管理角色添加到角色组。在添加角色之后,即会向角色组成员授予该角色所提供的权限。

使用 EAC 将管理角色添加到角色组

重要

如果已使用 Exchange 命令行管理程序 在角色组上配置多个管理角色作用域或独占作用域,将不能使用 EAC 向角色组添加角色。 如果角色组上配置了多个作用域或独占作用域,则必须使用本主题稍后介绍的 Exchange 命令行管理程序过程将角色添加到角色组。 有关管理角色作用域详细信息,请参阅 了解管理角色作用域

  1. 在 EAC 中,导航到 "权限"" > 管理员角色"

  2. 选择要将角色添加到的角色组,然后单击"编辑 编辑"图标

  3. "角色 "部分,选择要添加到角色组的角色。

  4. 完成向角色组添加角色后,单击"保存 "

使用 Exchange命令行管理程序创建角色分配作用域的命令行管理程序

可以在角色和角色组之间创建无作用域的角色分配。这样做时,角色的隐式读取和隐式写入作用域都适用。

使用以下语法可将没有任何作用域的角色分配给角色组。如果不指定角色分配名称,则会自动创建一个角色分配名称。

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name>

此示例将 Transport Rules 管理角色分配给 Seattle Compliance 角色组。

New-ManagementRoleAssignment -SecurityGroup "Seattle Compliance" -Role "Transport Rules"

有关语法和参数的详细信息,请参阅 New-ManagementRoleAssignment

使用Exchange命令行管理程序创建角色分配预定义作用域的命令行管理程序

如果预定义作用域满足你的业务要求,则可以将该作用域应用于角色分配,而不是新建一个角色分配。 有关预定义作用域及其说明的列表,请参阅 了解管理角色作用域

有关角色分配详细信息,请参阅 了解管理角色分配

使用以下语法可将角色分配给具有预定义作用域的角色组。如果不指定角色分配名称,则会自动创建一个角色分配名称。

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -RecipientRelativeWriteScope < MyGAL | MyDistributionGroups | Organization | Self >

此示例将 Message Tracking 角色分配给 Enterprise Support 角色组,并应用 Organization 预定义作用域。

New-ManagementRoleAssignment -SecurityGroup "Enterprise Support" -Role "Message Tracking" -RecipientRelativeWriteScope Organization

有关语法和参数的详细信息,请参阅 New-ManagementRoleAssignment

使用Exchange命令行管理程序创建角色分配基于收件人筛选器的作用域

如果创建了基于收件人筛选器的作用域,则需要在使用 CustomRecipientWriteScope 参数将角色分配给角色组的命令中包括该作用域。

创建具有收件人写入作用域的角色分配时,也可以包含配置写入作用域。

有关角色分配和作用域的详细信息,请参阅下列主题:

使用以下语法可将角色分配给具有基于收件人筛选器的作用域的角色组。如果不指定角色分配名称,则会自动创建一个角色分配名称。

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -CustomRecipientWriteScope <role scope name>

此示例将 Message Tracking 角色分配给 Seattle Recipient Admins 角色组,并应用 Seattle Recipients 作用域。

New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Message Tracking" -CustomRecipientWriteScope "Seattle Recipients"

有关语法和参数的详细信息,请参阅 New-ManagementRoleAssignment

使用Exchange命令行管理程序创建角色分配作用域的命令行管理程序

如果创建了服务器或数据库配置筛选器或基于列表的作用域,则需要使用 CustomConfigWriteScope 参数将作用域包括在用于将角色分配给角色组的命令中。

创建具有配置写入作用域的角色分配时,也可以包含收件人写入作用域。

有关角色分配和管理作用域的详细信息,请参阅下列主题:

使用以下语法可将角色分配到具有配置作用域的角色组。如果不指定角色分配名称,则会自动创建一个角色分配名称。

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -CustomConfigWriteScope <role scope name>

此示例将 Databases 角色分配给 Seattle Server Admins 角色组,并应用 Seattle Servers 作用域。

New-ManagementRoleAssignment -SecurityGroup "Seattle Server Admins" -Role "Databases" -CustomConfigWriteScope "Seattle Servers"

有关语法和参数的详细信息,请参阅 New-ManagementRoleAssignment

使用 Exchange命令行管理程序创建具有 OU 角色分配的命令行管理程序

如果要将角色的写入作用域的范围设定为 OU,可以直接在 RecipientOrganizationalUnitScope 参数中指定 OU。

配置写入作用域:确定角色组成员允许在 exADNoMk 中修改的组织对象和服务器对象。

使用以下命令可将角色分配给角色组,并将角色的写入作用域限制为特定的 OU。如果不指定角色分配名称,则会自动创建一个角色分配名称。

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -RecipientOrganizationalUnitScope <OU>

此示例将 Mail Recipients 角色分配给 Seattle Recipient Admins 角色组,并将该分配的作用域限定为 Contoso.com 域中的 Sales\Users OU。

New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users

有关语法和参数的详细信息,请参阅 New-ManagementRoleAssignment

如何判断是否生效?

若要验证是否已成功将角色添加到角色组,请执行以下操作:

  1. 在 EAC 中,导航到 "权限"" > 管理员角色"

  2. 选择要将角色添加到的角色组。在角色组详细信息窗格中,验证添加的角色是否列出。

从角色组中删除角色

从管理角色组中删除角色是吊销授予给一组管理员或专家用户的权限的最佳且最简单的方式。如果你不希望管理员或专家用户拥有管理某一功能的权限,则将管理角色从管理这些权限的管理角色组中删除。删除角色后,角色组的成员将不再拥有管理该功能的权限。

备注

一些角色组(例如 组织管理 角色组)会限制可以从角色组中删除哪些角色。 有关详细信息,请参阅了解 管理角色组。 > 如果管理员为另一个角色组(该角色组包含授予权限以管理功能的管理角色)的成员,您需要从其他角色组中删除此管理员,或从其他角色组中删除授予管理功能权限的角色。

使用 EAC 从角色组中删除管理角色

重要

如果已使用 Exchange 命令行管理程序在角色组上配置多个作用域或独占作用域,则不能使用 EAC 从角色组中删除角色。 如果角色组上配置了多个作用域或独占作用域,则必须使用本主题稍后介绍的 Exchange 命令行管理程序 过程从角色组中删除角色。 有关管理角色作用域详细信息,请参阅 了解管理角色作用域

  1. 在 EAC 中,导航到 "权限"" > 管理员角色"

  2. 选择要从中删除角色的角色组,然后单击"编辑 编辑"图标

  3. "角色 "部分,选择要从角色组中删除的角色。

  4. 从角色组中删除角色后,单击"保存 "

使用Exchange命令行管理程序从角色组中删除角色

可以通过使用 Get-ManagementRoleAssignment cmdlet 检索关联的管理 角色分配,然后将返回的 角色分配 通过管道角色分配 Remove-ManagementRoleAssignment cmdlet,从角色组中删除角色。 除非要同时删除委派角色分配和常规角色分配,否则请指定 Delegating 参数以指定要删除常规角色分配还是委派角色分配。

有关常规角色分配和委派角色分配的详细信息,请参阅Understanding Management Role Assignments

此过程使用管道进行传输。 有关管道管理详细信息 ,请参阅about_Pipelines

若要从角色组删除角色,请使用下列语法。

Get-ManagementRoleAssignment -RoleAssignee <role group name> -Role <role name> -Delegating <$true | $false> | Remove-ManagementRoleAssignment

本示例将通讯组角色(该角色使管理员能够管理通讯组)从 Seattle Recipient Administrators 角色组中删除。 由于我们要删除提供角色分配通讯组权限的组,因此 Delegating $False参数设置为 ,这将仅返回常规角色分配。

Get-ManagementRoleAssignment -RoleAssignee "Seattle Recipient Administrators" -Role "Distribution Groups" -Delegating $false | Remove-ManagementRoleAssignment

有关语法和参数的详细信息,请参阅 Remove-ManagementRoleAssignment

如何判断是否生效?

若要验证是否已成功从角色组中删除角色,请执行以下操作:

  1. 在 EAC 中,导航到 "权限"" > 管理员角色"

  2. 选择从中删除了角色的角色组。在角色组详细信息窗格中,验证删除的角色是否不再列出。

更改角色组的作用域

角色组和角色之间的管理角色分配包含管理作用域,管理作用域确定该角色组成员可用的对象。通过更改角色组上的写入作用域,可以更改角色组成员可创建、更改或删除的对象。不能更改角色组上的读取作用域。

Exchange Server包括在未创建自定义作用域时默认应用于角色分配的作用域。 如果你要对角色组上的角色分配使用自定义作用域,则必须首先创建一个自定义作用域。 有关创建自定义作用域(这是一项高级任务)的信息,请参阅 创建常规作用域或独占作用域

有关管理角色作用域和工作分配Exchange Server,请参阅下列主题:

使用 EAC 更改角色组上的作用域

在使用 EAC 更改某个角色组上的作用域时,你实际更改的是该角色组与分配给该角色组的每个管理角色之间所有角色分配上的作用域。 如果要更改特定角色分配上的作用域,则必须使用本主题Exchange命令行管理程序过程。

重要

如果已使用 Exchange 命令行管理程序在这些角色分配上配置多个作用域或独占作用域,你不能使用 EAC 管理角色和角色组之间的角色分配上的作用域。 如果已针对这些角色分配配置了多个作用域或独占作用域,则必须使用本主题稍后介绍的 Exchange 命令行管理程序过程来管理作用域。 有关管理角色作用域详细信息,请参阅 了解管理角色作用域

  1. 在 EAC 中,导航到 "权限"" > 管理员角色"

  2. 选择要更改作用域的角色组,然后单击"编辑 编辑"图标

  3. 从以下两个“写入作用域”选项中选择一个:

    • 下拉框中的写入作用域,您可从中选择默认的写入作用域或自定义的写入作用域。

    • 组织单位:选择此选项并提供组织单位 (OU) 如果要将此角色组作用域为 OU。

  4. 单击“保存”以保存对角色组的更改。

使用Exchange命令行管理程序同时更改角色组上所有角色分配的作用域

角色组与分配给它的角色之间的角色分配可以使用从角色本身获取的隐式作用域、相同的自定义作用域或不同的自定义作用域。 有关角色分配详细信息,请参阅 了解管理角色分配

角色分配上的作用域使用 Set-ManagementRoleAssignment cmdlet 进行管理。 你不能使用 Set-RoleGroup cmdlet 管理作用域。

若要同时更改角色组与管理角色组之间所有角色分配的作用域,需要首先检索该角色组上的角色分配,然后在每个分配上设置新作用域。 为此,可以使用 Get-ManagementRoleAssignment cmdlet 检索角色分配,然后通过管道将它们通过管道到达 Set-ManagementRoleAssignment cmdlet。

此过程使用管道管道和 WhatIf 开关 的概念。 有关详细信息,请参阅下列主题:

若要同时设置角色组的所有角色分配的作用域,请使用以下语法。

Get-ManagementRoleAssignment -RoleAssignee <name of role group> | Set-ManagementRoleAssignment -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name> -RecipientRelativeScopeWriteScope < MyDistributionGroups | Organization | Self> -ExclusiveRecipientWriteScope <exclusive recipient scope name> -ExclusiveConfigWriteScope <exclusive configuration scope name> -RecipientOrganizationalUnitScope <organizational unit>

仅使用配置要使用的作用域时所需的参数。例如,如果要将 Sales Recipient Management 角色组上的所有角色分配的收件人作用域更改为 Direct Sales Employees,请使用以下命令。

Get-ManagementRoleAssignment -RoleAssignee "Sales Recipient Management" | Set-ManagementRoleAssignment -CustomRecipientWriteScope "Direct Sales Employees"

备注

可以使用 WhatIf 开关验证是否仅更改了要更改的角色分配。 使用 WhatIf 开关运行上述命令以验证结果,然后删除 WhatIf 开关以应用更改。

有关更改管理角色分配的信息,请参阅更改 角色分配

有关语法和参数的详细信息,请参阅 Get-ManagementRoleAssignment

使用Exchange命令行管理程序更改角色组上各个角色分配的作用域

角色组与分配给它的角色之间的角色分配可以使用从角色本身获取的隐式作用域、相同的自定义作用域或不同的自定义作用域。 有关角色分配详细信息,请参阅 了解管理角色分配

角色分配上的作用域使用 Set-ManagementRoleAssignment cmdlet 进行管理。 你不能使用 Set-RoleGroup cmdlet 管理作用域。

此过程使用管道管道和 Format-List cmdlet 的概念。 有关详细信息,请参阅下列主题:

若要更改角色组与管理角色之间的角色分配上的作用域,首先要找到该角色分配的名称,然后在该角色分配上设置作用域。

  1. 若要查找角色组上所有角色分配的名称,请使用以下命令。 通过管道将管理角色分配通过管道到 Format-List cmdlet,可以查看分配的完整名称。

    Get-ManagementRoleAssignment -RoleAssignee <role group name> | Format-List Name
    
  2. 查找要更改的角色分配的名称。请在下一步中使用该角色分配的名称。

  3. 若要在单个分配上设置作用域,请使用以下语法。

    Set-ManagementRoleAssignment <role assignment name> -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name> -RecipientRelativeScopeWriteScope < MyDistributionGroups | Organization | Self> -ExclusiveRecipientWriteScope <exclusive recipient scope name> -ExclusiveConfigWriteScope <exclusive configuration scope name> -RecipientOrganizationalUnitScope <organizational unit>
    

仅使用配置要使用的作用域时所需的参数。例如,如果要将 Mail Recipients_Sales Recipient Management 角色分配的收件人作用域更改为 All Sales Employees,请使用以下命令。

Set-ManagementRoleAssignment "Mail Recipients_Sales Recipient Management" -CustomRecipientWriteScope "All Sales Employees"

有关更改管理角色分配的信息,请参阅更改 角色分配

有关语法和参数的详细信息,请参阅 Set-ManagementRoleAssignment

如何判断是否生效?

若要验证是否已成功更改角色组上角色分配的作用域,请执行以下操作:

  • 如果已使用 EAC 配置角色组上的作用域,则执行以下操作:

    1. 在 EAC 中,导航到 "权限"">管理员角色"。 这里列出了组织中的所有角色组。

    2. 选择某个角色组,以查看该角色组上配置的作用域。

  • 如果使用命令行Exchange在角色组上配置作用域,请执行下列操作:

    1. 在 Exchange 命令行管理程序 中运行以下命令。

      Get-ManagementRoleAssignment -RoleAssignee <role group name> | Format-Table *WriteScope
      
    2. 验证角色分配上的写入作用域是否已更改为您指定的作用域。

添加或删除角色组委派

角色组委派是指可以向角色组中添加或从中删除成员或更改角色组属性的用户或通用安全组 (USG)。通过添加或删除角色组委派,可以控制允许哪个用户管理角色组。

重要

向角色组添加委派之后,该角色组将只能由该角色组上的委派进行管理,或由直接或间接获得 Role Management 管理角色的用户进行管理。 > 如果直接或间接向用户分配了 Role Management 角色并且未添加为角色组的委派,则用户必须使用 Add-RoleGroupMemberRemove-RoleGroupMemberUpdate-RoleGroupMemberSet-RoleGroup cmdlet 上的 BypassSecurityGroupManagerCheck 开关来管理角色组。

备注

不能使用 EAC 将委派添加到角色组。

使用Exchange命令行管理程序将委派添加到角色组

若要更改角色组上的委派列表,请使用 Set-RoleGroup cmdlet 上的 ManagedBy 参数。 ManagedBy 参数覆盖角色组上的整个委派列表。 如果你想要将委派添加到角色组而不是替换整个委派列表,请按以下步骤操作:

  1. 使用以下命令将角色组存储在一个变量中。

    $RoleGroup = Get-RoleGroup <role group name>
    
  2. 使用以下命令将委派添加到存储在变量中的角色组。

    $RoleGroup.ManagedBy += (Get-User <user to add>).Identity
    

    备注

    如果要添加 USG,请使用 Get-Group cmdlet。

  3. 请对要添加的每个委派重复步骤 2。

  4. 使用以下命令将新的委派列表应用于实际的角色组。

    Set-RoleGroup <role group name> -ManagedBy $RoleGroup.ManagedBy
    

本示例将用户 David Strome 添加为 组织管理 角色组上的一个委派。

$RoleGroup = Get-RoleGroup "Organization Management"
$RoleGroup.ManagedBy += (Get-User "David Strome").Identity
Set-RoleGroup "Organization Management" -ManagedBy $RoleGroup.ManagedBy

有关语法和参数的详细信息,请参阅 Set-RoleGroup

使用Exchange命令行管理程序从角色组中删除委派

若要更改角色组上的委派列表,请使用 Set-RoleGroup cmdlet 上的 ManagedBy 参数。 ManagedBy 参数覆盖角色组上的整个委派列表。 如果你想要将委派从角色组中删除而不是替换整个委派列表,请按以下步骤操作:

  1. 使用以下命令将角色组存储在一个变量中。

    $RoleGroup = Get-RoleGroup <role group name>
    
  2. 使用以下命令将委派从存储在变量中的角色组中删除。

    $RoleGroup.ManagedBy -= (Get-User <user to remove>).Identity
    

    备注

    如果要 删除 USG,请使用 Get-Group cmdlet。

  3. 请对要删除的每个委派重复步骤 2。

  4. 使用以下命令将新的委派列表应用于实际的角色组。

    Set-RoleGroup <role group name> -ManagedBy $RoleGroup.ManagedBy
    

本示例将作为 组织管理 角色组上委派的用户 David Strome 删除。

$RoleGroup = Get-RoleGroup "Organization Management"
$RoleGroup.ManagedBy -= (Get-User "David Strome").Identity
Set-RoleGroup "Organization Management" -ManagedBy $RoleGroup.ManagedBy

有关语法和参数的详细信息,请参阅 Set-RoleGroup

如何判断是否生效?

若要验证是否已成功更改角色组上的委派列表,请执行以下操作:

  1. 在Exchange 命令行管理程序中,运行以下命令。

    Get-RoleGroup <role group name> | Format-List ManagedBy
    
  2. 验证 ManagedBy 属性上列出的委派是否仅包含应能够管理角色组的委派。