將角色新增至使用者或 USG

適用版本： Exchange Server 2010

上次修改主題的時間： 2009-09-21

管理角色指派可以將管理角色指派給使用者或萬用安全性群組 (USG)。透過將角色指派給使用者或 USG，您可以讓這些使用者根據指令程式或指令碼及他們在管理角色上定義的參數來執行工作。

雖然您可以直接將角色指派給使用者和 USG，但建議使用管理角色群組和管理角色指派原則來授與權限給系統管理員和使用者。使用角色群組和指派原則可以大幅簡化您的權限模型。

如果您要將角色指派給管理角色群組或管理角色指派原則，請參閱下列主題：

• 將角色新增至角色群組
• 將角色新增至指派原則

如果您要將成員新增至角色群組或將角色指派原則指派給使用者，請參閱下列主題：

• 將成員新增至角色群組
• 變更信箱的指派原則

如需相關資訊，請參閱瞭解應用角色的存取控制。

注意

角色指派是附加的。這表示所有角色經過評估之後會一起新增。如果將兩個角色指派給使用者，而其中一個角色包含指令程式，但另一個不含該指令程式，則使用者仍然可以使用該指令程式。
角色指派預設不會授與指派角色給其他使用者的權限。若要讓使用者能夠指派角色給其他使用者或 USG，請參閱委派角色指派。

您必須使用 Exchange 管理命令介面來新增角色指派。

您想要做什麼？

• 建立沒有範圍的角色指派
• 使用預先定義的相對領域建立角色指派
• 使用以收件者篩選器為基礎的範圍建立角色指派
• 使用伺服器篩選器或以清單為基礎的組態範圍建立角色指派
• 建立具有 OU 範圍的角色指派
• 建立具有獨佔收件者或組態範圍的角色指派

如果您建立含有範圍的新指派，則該範圍會覆寫角色的隱含寫入範圍。不過，角色的隱含讀取範圍仍然適用。新的範圍無法傳回在角色的隱含讀取範圍之外的物件。如需相關資訊，請參閱瞭解管理角色範圍。

本主題中的所有程序都使用 SecurityGroup 參數來指派角色給 USG。如果您只想要將角色指派給特定的使用者，請使用 User 參數來代替 SecurityGroup 參數。每一個指令的其他所有語法都一樣。

建立沒有範圍的角色指派

您必須已獲指派權限，才能執行此程序。若要查看您需要的權限，請參閱角色管理權限主題中的「角色指派」項目。

您可以建立沒有範圍的角色指派。如果您這樣做，則會套用角色的隱含讀取和隱含寫入範圍。

使用下列語法來指派角色給 USG 且不使用任何範圍：

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name>

例如，若要將「Exchange Servers」角色指派給 SeattleAdmins USG，請執行下列命令：

New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers"

使用預先定義的相對領域建立角色指派

您必須已獲指派權限，才能執行此程序。若要查看您需要的權限，請參閱角色管理權限主題中的「角色指派」項目。

如果預先定義的相對範圍符合您的商業需求，您可以將該範圍套用至角色指派，而不必建立自訂的範圍。如需預先定義的範圍和其描述的清單，請參閱瞭解管理角色範圍。

使用下列語法來指派角色給 USG 並使用預先定義的範圍：

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -RecipientRelativeWriteScope < MyDistributionGroups | Organization | Self >

例如，若要將「Exchange Servers」角色指派給 SeattleAdmins USG，並套用 Organization 預先定義的範圍，請使用下列命令：

New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers" -RecipientRelativeWriteScope Organization

使用以收件者篩選器為基礎的範圍建立角色指派

您必須已獲指派權限，才能執行此程序。若要查看您需要的權限，請參閱角色管理權限主題中的「角色指派」項目。

如果您建立以收件者篩選器為基礎的範圍，且想要將此範圍用於角色指派，則在用於指派角色給 USG 的命令中，您必須使用 CustomRecipientWriteScope 參數來包含該範圍。如果使用 CustomRecipientWriteScope 參數，便無法使用 RecipientOrganizationalUnitScope 參數。

您必須先建立範圍，才能將範圍新增至角色指派。如需相關資訊，請參閱建立一般或獨佔範圍。

使用下列語法來指派角色給 USG 並使用以收件者篩選器為基礎的範圍：

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -CustomRecipientWriteScope <role scope name>

例如，若要將「郵件收件者」角色指派給「西雅圖收件者管理員」USG 並套用「西雅圖收件者」範圍，請執行下列命令：

New-ManagementRoleAssignment -Name "Mail Recipients_Seattle Recipient Admins" -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -CustomRecipientWriteScope "Seattle Recipients"

使用伺服器篩選器或以清單為基礎的組態範圍建立角色指派

您必須已獲指派權限，才能執行此程序。若要查看您需要的權限，請參閱角色管理權限主題中的「角色指派」項目。

如果您建立伺服器篩選器或以清單為基礎的組態範圍，且想要將此範圍用於角色指派，則在用於指派角色給 USG 的命令中，您必須使用 CustomConfigWriteScope 參數來包含該範圍。

您必須先建立範圍，才能將範圍新增至角色指派。如需相關資訊，請參閱建立一般或獨佔範圍。

使用下列語法來指派角色給 USG 並使用組態範圍：

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -CustomConfigWriteScope <role scope name>

例如，若要將「Exchange Servers」 角色指派給 MailboxAdmins USG，並套用「Mailbox Servers」 範圍，請執行下列命令：

New-ManagementRoleAssignment -Name "Exchange Servers_MailboxAdmins" -SecurityGroup MailboxAdmins -Role "Exchange Servers" -CustomConfigWriteScope "Mailbox Servers"

建立具有 OU 範圍的角色指派

您必須已獲指派權限，才能執行此程序。若要查看您需要的權限，請參閱角色管理權限主題中的「角色指派」項目。

如果您要將角色的寫入範圍設為某個組織單位 (OU)，您可以直接在 RecipientOrganizationalUnitScope 參數中指定該 OU。如果使用 RecipientOrganizationalUnitScope 參數，便無法使用 CustomRecipientWriteScope 參數。

使用下列命令來指派角色給 USG，並將角色的寫入範圍限制為特定的 OU：

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -RecipientOrganizationalUnitScope <OU>

例如，若要將「郵件收件者」角色指派給 SalesRecipientAdmins USG，並將指派的範圍設為 contoso.com 網域中的 Sales\Users OU，請使用下列命令：

New-ManagementRoleAssignment -Name "Mail Recipients_SalesRecipientAdmins" -SecurityGroup SalesRecipientAdmins -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users

建立具有獨佔收件者或組態範圍的角色指派

您必須已獲指派權限，才能執行此程序。若要查看您需要的權限，請參閱角色管理權限主題中的「角色指派」項目。

若要建立具有獨佔收件者或組態範圍的獨佔角色指派，您可以使用使用以收件者篩選器為基礎的範圍建立角色指派和使用伺服器篩選器或以清單為基礎的組態範圍建立角色指派這兩節所提供的相同程序。唯一的差別在於當您建立具有獨佔範圍的角色指派時，根據您使用獨佔收件者範圍還是獨佔組態範圍而定，您必須指定下列獨佔參數：

• 獨佔收件者範圍   使用 ExclusiveRecipientWriteScope 參數，而非 CustomRecipientWriteScope 參數。
• 獨佔組態範圍   使用 ExclusiveConfigWriteScope 參數，而非 CustomConfigWriteScope 參數。

當您執行此程序時，被指派角色的角色受託人可以對獨佔範圍中包含的物件執行動作。如需獨佔範圍的相關資訊，請參閱 了解獨佔範圍。

您不能建立同時具有獨佔範圍和標準範圍的角色指派。

例如，若要將「郵件收件者」角色指派給「受保護的使用者管理員」USG 並套用「受保護的使用者」獨佔範圍，請執行下列命令：

New-ManagementRoleAssignment -Name "Mail Recipients_Protected User Admins" -SecurityGroup "Protected User Admins" -Role "Mail Recipients" -ExclusiveRecipientWriteScope "Protected Users"