將角色新增至使用者或 USG

適用於：Exchange Server 2013

管理角色指派可以將管理角色指派給使用者或通用安全性群組 (USG) 。 藉由將角色指派給使用者或 USG，您可以讓這些使用者根據 Cmdlet 或腳本，以及其在管理角色上定義的參數來執行工作。

如果您要將角色指派給管理角色群組或管理角色指派原則，請參閱下列主題：

• 管理角色群組

• 管理角色指派原則

如果您要將成員新增至角色群組或將角色指派原則指派給使用者，請參閱下列主題：

• 管理角色群組成員

• 變更在信箱上的指派原則

如需相關資訊，請參閱了解角色型存取控制。

要尋找與角色相關的其他管理工作嗎？ 請參閱進階權限。

開始之前有哪些須知？

• 每項程序的預估完成時間：5 分鐘

• 您必須已獲指派權限，才能執行此程序或這些程序。 若要查看您需要的權限，請參閱 角色管理權限主題中的「角色指派」項目。

• 您必須使用命令介面來執行這些程序。

• 雖然您可以直接將角色指派給使用者和 USG，但將許可權授與系統管理員和使用者的建議方法是使用管理角色群組和管理角色指派原則。 當您使用角色群組和指派原則時，您可以簡化許可權模型。

• 角色指派是加法的。 這表示所有角色都會在評估時一起新增。 如果將兩個角色指派給使用者，而其中一個角色包含 Cmdlet，但另一個角色沒有，則該 Cmdlet 仍可供使用者使用。

  根據預設，角色指派不會授與其他使用者指派角色的能力。 若要讓使用者將角色指派給其他使用者或 USG，請參閱 委派角色指派。

• 如果您建立具有範圍的指派，則範圍會覆寫角色的隱含寫入範圍。 不過，角色的隱含讀取範圍仍然適用。 新範圍無法傳回角色隱含讀取範圍以外的物件。 如需相關資訊，請參閱了解管理角色範圍。

• 本主題中的所有程式都會使用 SecurityGroup 參數將角色指派給 USG。 如果您想要將角色指派給特定使用者，請使用 User 參數，而不是 SecurityGroup 參數。 每個命令的所有其他語法都相同。

• 如需適用於此主題中程序的快速鍵相關資訊，請參閱 Exchange 系統管理中心的鍵盤快速鍵。

提示

有問題嗎？ 在 Exchange 論壇中尋求協助。 瀏覽 Exchange Server 的論壇。

建立沒有範圍的角色指派

您可以建立沒有範圍的角色指派。 當您這樣做時，會套用角色的隱含讀取和隱含寫入範圍。

使用下列語法來指派角色給 USG 且不使用任何範圍。

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name>

這個範例會將 Exchange Server 角色指派給 SeattleAdmins USG。

New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers"

如需詳細的語法和參數資訊，請參閱 New-ManagementRoleAssignment。

使用預先定義的相對範圍建立角色指派

如果預先定義的相對範圍符合您的商務需求，您可以將該範圍套用至角色指派，而不是建立自訂範圍。 如需預先定義的範圍及其描述清單，請參閱 瞭解管理角色範圍。

使用下列語法來指派角色給 USG，並使用預先定義的範圍。

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -RecipientRelativeWriteScope < MyDistributionGroups | Organization | Self >

這個範例會將 Exchange Server 角色指派給 SeattleAdmins USG，並套用「組織」預先定義範圍。

New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers" -RecipientRelativeWriteScope Organization

如需詳細的語法和參數資訊，請參閱 New-ManagementRoleAssignment。

使用以收件者篩選器為基礎的範圍建立角色指派

如果您已建立收件者篩選型範圍，並想要將其與角色指派搭配使用，則必須使用 CustomRecipientWriteScope 參數，在用來將角色指派給 USG 的命令中包含範圍。 如果您使用 CustomRecipientWriteScope 參數，則無法使用 RecipientOrganizationalUnitScope 參數。

您必須先建立範圍，才能將範圍新增至角色指派。 如需詳細資訊，請 參閱建立一般或專屬範圍。

使用下列語法來指派角色給 USG，並使用以收件者篩選器為基礎的範圍。

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -CustomRecipientWriteScope <role scope name>

這個範例會將 Mail Recipients 角色指派給 Seattle Recipient Admins USG，並套用 Seattle Recipients 範圍。

New-ManagementRoleAssignment -Name "Mail Recipients_Seattle Recipient Admins" -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -CustomRecipientWriteScope "Seattle Recipients"

如需詳細的語法和參數資訊，請參閱 New-ManagementRoleAssignment。

使用伺服器或資料庫篩選器，或以清單為基礎的組態範圍建立角色指派

如果您已建立伺服器或資料庫篩選或清單型設定範圍，並想要搭配角色指派來使用它，則必須使用 CustomConfigWriteScope 參數，在用來將角色指派給 USG 的命令中包含範圍。

您必須先建立範圍，才能將範圍新增至角色指派。 如需詳細資訊，請 參閱建立一般或專屬範圍。

使用下列語法來指派角色給 USG，並使用組態範圍。

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -CustomConfigWriteScope <role scope name>

這個範例會將 Exchange Server 角色指派給 MailboxAdmins USG，並套用「信箱伺服器」範圍。

New-ManagementRoleAssignment -Name "Exchange Servers_MailboxAdmins" -SecurityGroup MailboxAdmins -Role "Exchange Servers" -CustomConfigWriteScope "Mailbox Servers"

上述範例示範如何使用伺服器組態範圍新增角色指派。 新增資料庫組態範圍的語法相同。 您可以指定資料庫範圍的名稱，而不是伺服器範圍。

如需詳細的語法和參數資訊，請參閱 New-ManagementRoleAssignment。

建立具有 OU 範圍的角色指派

如果您想要將角色的寫入範圍限定在組織單位 (OU) ，您可以直接在 RecipientOrganizationalUnitScope 參數中指定 OU。 如果您使用 RecipientOrganizationalUnitScope 參數，則無法使用 CustomRecipientWriteScope 參數。

使用下列語法來指派角色給 USG，並將角色的寫入範圍限制為特定的 OU。

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -RecipientOrganizationalUnitScope <OU>

這個範例會將 Mail Recipients 角色指派給 SalesRecipientAdmins USG，並將指派的範圍設定為 contoso.com 網域中的 sales/users OU。

New-ManagementRoleAssignment -Name "Mail Recipients_SalesRecipientAdmins" -SecurityGroup SalesRecipientAdmins -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users

如需詳細的語法和參數資訊，請參閱 New-ManagementRoleAssignment。

建立具有獨佔收件者或組態範圍的角色指派

若要建立具有獨佔收件者或設定範圍的獨佔角色指派，可以使用使用伺服器或資料庫篩選或清單型設定範圍區段建立角色指派和建立角色指派中所提供的相同程式。 唯一的差別在於，當您使用獨佔範圍建立角色指派時，必須根據您使用的是獨佔收件者範圍或獨佔設定範圍，指定下列獨佔參數：

• 獨佔收件者範圍：使用 ExclusiveRecipientWriteScope 參數，而不是 CustomRecipientWriteScope 參數。

• 獨佔組態範圍：使用 ExclusiveConfigWriteScope 參數，而不是 CustomConfigWriteScope 參數。

當您執行此程式時，指派角色的角色指派者可以針對獨佔範圍中包含的物件執行動作。 如需獨佔範圍的相關資訊，請參閱 了解獨佔範圍。

您不能建立同時具有獨佔範圍和標準範圍的角色指派。

這個範例會將 Mail Recipients 角色指派給 Protected User Admins USG，並套用 Protected Users 獨佔範圍。

New-ManagementRoleAssignment -Name "Mail Recipients_Protected User Admins" -SecurityGroup "Protected User Admins" -Role "Mail Recipients" -ExclusiveRecipientWriteScope "Protected Users"

如需詳細的語法及參數資訊，請參閱 New-ManagementRoleAssignment。