创建链接的角色组
适用于: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上一次修改主题: 2012-07-23
链接的管理角色组可以用于使外部 Active Directory 林中通用安全组 (USG) 的成员能够管理资源 Active Directory 林中的 Microsoft Exchange Server 2010 组织。通过将外部林中的 USG 与链接的角色组相关联,该 USG 的成员将被授予由管理角色提供的分配到链接角色组的权限。有关链接角色组的详细信息,请参阅了解管理角色组。
.gif "重要") 重要说明: |
|---|
| 若要在链接角色组上添加或删除用户,必须在外部 Active Directory 林的 USG 中添加或删除成员。无法使用 Add-RoleGroupMember、Remove-RoleGroupMember 或 Update-RoleGroupMember cmdlet 更改链接角色组的成员身份。 |
若要了解与管理员和专家用户相关的其他管理任务,请查看管理管理员和专家用户。
先决条件
配置链接角色组至少需要在链接角色组将驻留的资源 Active Directory 林与用户或 USG 驻留的外部 Active Directory 林之间建立单向信任。资源林必须信任外部林。
您必须具有关于外部 Active Directory 林的以下信息:
**凭据:**必须具有有权访问外部 Active Directory 林的用户名和密码。此参数与 New-RoleGroup cmdlet 中的 LinkedCredential 参数配合使用。
**域控制器:**必须具有外部 Active Directory 林中 Active Directory 域控制器的完全限定域名 (FQDN)。此参数与 New-RoleGroup cmdlet 中的 LinkedDomainController 参数配合使用。
**外部 USG:**必须具有外部 Active Directory 林中 USG 的全名,其中该林包含您希望使之与链接角色组关联的成员。此参数与 New-RoleGroup cmdlet 中的 LinkedForeignGroup 参数配合使用。
使用命令行管理程序创建没有作用域的链接角色组
您必须先获得权限,然后才能执行此过程。若要查看所需的权限,请参阅角色管理权限主题中的“角色组”条目。
.gif "注释") 注意: |
|---|
| 不能使用 EMC 创建没有作用域的链接角色组。 |
若要创建链接角色组并为其分配管理角色,请执行以下操作:
将外部 Active Directory 林的凭据存储在一个变量中。
$ForeignCredential = Get-Credential使用下面的语法创建链接的角色组。
New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -Roles <role1, role2, role3...>在外部 Active Directory 林中的计算机上使用 Active Directory 用户和计算机向外部 USG 添加成员或从中删除成员。
本示例执行以下操作:
检索外部 Active Directory 林 users.contoso.com 的凭据。这些凭据用于连接到外部林中的 DC01.users.contoso.com 域控制器。
在安装了 Exchange 2010 的资源林中创建名为 Compliance Role Group 的链接角色组。
将新角色组链接到 users.contoso.com 外部 Active Directory 林中的 Compliance Administrators USG。
将传输规则和日记管理角色分配到新链接角色组。
$ForeignCredential = Get-Credential
New-RoleGroup "Compliance Role Group" -LinkedForeignGroup "Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles "Transport Rules", "Journaling"
有关语法和参数的详细信息,请参阅 New-RoleGroup。
使用命令行管理程序创建具有自定义管理作用域的链接角色组
您必须先获得权限,然后才能执行此过程。若要查看所需的权限,请参阅角色管理权限主题中的“角色组”条目。
| 注意: |
|---|
| 不能使用 EMC 创建具有自定义管理作用域的链接角色组。 |
可以创建具有自定义收件人管理作用域、自定义配置管理作用域的链接角色组,或创建同时具有这两种作用域的链接角色组。若要创建链接角色组并为其分配具有自定义作用域的管理角色,请执行以下操作:
将外部 Active Directory 林的凭据存储在一个变量中。
$ForeignCredential = Get-Credential使用下面的语法创建链接的角色组。
New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -CustomConfigWriteScope <name of configuration scope> -CustomRecipientWriteScope <name of recipient scope> -LinkedCredential $ForeignCredential -Roles <role1, role2, role3...>在外部 Active Directory 林中的计算机上使用 Active Directory 用户和计算机向外部 USG 添加成员或从中删除成员。
本示例执行以下操作:
检索外部 Active Directory 林 users.contoso.com 的凭据。这些凭据用于连接到外部林中的 DC01.users.contoso.com 域控制器。
在安装了 Exchange 2010 的资源林中创建名为 Seattle Compliance Role Group 的链接角色组。
将新角色组链接到 users.contoso.com 外部 Active Directory 林中的 Seattle Compliance Administrators USG。
将传输规则和日记管理角色分配到具有 Seattle Recipients 自定义收件人作用域的新链接角色组。
$ForeignCredential = Get-Credential
New-RoleGroup "Seattle Compliance Role Group" -LinkedForeignGroup "Seattle Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -CustomRecipientWriteScope "Seattle Recipients" -Roles "Transport Rules", "Journaling"
有关管理作用域的详细信息,请参阅了解管理角色作用域。
有关语法和参数的详细信息,请参阅 New-RoleGroup。
使用命令行管理程序创建具有 OU 作用域的链接角色组
您必须先获得权限,然后才能执行此过程。若要查看所需的权限,请参阅角色管理权限主题中的“角色组”条目。
| 注意: |
|---|
| 不能使用 EMC 创建具有组织单位 (OU) 作用域的链接角色组。 |
可以创建具有 OU 收件人作用域的链接角色组。若要创建链接角色组并为其分配具有 OU 作用域的管理角色,请执行以下操作:
将外部 Active Directory 林的凭据存储在一个变量中。
$ForeignCredential = Get-Credential使用下面的语法创建链接的角色组。
New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -RecipientOrganizationalUnitScope <OU name> -Roles <role1, role2, role3...>在外部 Active Directory 林中的计算机上使用 Active Directory 用户和计算机向外部 USG 添加成员或从中删除成员。
本示例执行以下操作:
检索外部 Active Directory 林 users.contoso.com 的凭据。这些凭据用于连接到外部林中的 DC01.users.contoso.com 域控制器。
在安装了 Exchange 2010 的资源林中创建名为 Executives Compliance Role Group 的链接角色组。
将新角色组链接到 users.contoso.com 外部 Active Directory 林中的 Executives Compliance Administrators USG。
将传输规则和日记管理角色分配到具有 OU 收件人作用域 Executives OU 的新链接角色组。
$ForeignCredential = Get-Credential
New-RoleGroup "Executives Compliance Role Group" -LinkedForeignGroup "Executives Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -RecipientOrganizationalUnitScope "Executives OU" -Roles "Transport Rules", "Journaling"
有关管理作用域的详细信息,请参阅了解管理角色作用域。
有关语法和参数的详细信息,请参阅 New-RoleGroup。
其他任务
在创建链接角色组之后,您可能还需要:
© 2010 Microsoft Corporation。保留所有权利。