New-ManagementRoleAssignment

Este cmdlet está disponible en Exchange local y en el servicio basado en la nube. Puede que algunos parámetros y opciones de configuración sean exclusivos de un entorno u otro.

Utilice el cmdlet New-ManagementRoleAssignment para asignar un rol de administración a un grupo de roles de administración, a una directiva de asignación de roles de administración, a un usuario o a un grupo de seguridad universal (USG).

Para obtener más información acerca de los conjuntos de parámetros de la sección Sintaxis a continuación, vea Sintaxis del cmdlet de Exchange.

Syntax

New-ManagementRoleAssignment
   [[-Name] <String>]
   -Role <RoleIdParameter>
   -App <ServicePrincipalIdParameter>
   [-CustomResourceScope <ManagementScopeIdParameter>]
   [-Confirm]
   [-Delegating]
   [-Force]
   [-RecipientAdministrativeUnitScope <AdministrativeUnitIdParameter>]
   [-WhatIf]
   [<CommonParameters>]
New-ManagementRoleAssignment
   [[-Name] <String>]
   -Computer <ComputerIdParameter>
   -Role <RoleIdParameter>
   [-Confirm]
   [-CustomConfigWriteScope <ManagementScopeIdParameter>]
   [-CustomRecipientWriteScope <ManagementScopeIdParameter>]
   [-DomainController <Fqdn>]
   [-ExclusiveConfigWriteScope <ManagementScopeIdParameter>]
   [-ExclusiveRecipientWriteScope <ManagementScopeIdParameter>]
   [-Force]
   [-RecipientAdministrativeUnitScope <AdministrativeUnitIdParameter>]
   [-RecipientOrganizationalUnitScope <OrganizationalUnitIdParameter>]
   [-RecipientRelativeWriteScope <RecipientWriteScopeType>]
   [-UnScopedTopLevel]
   [-WhatIf]
   [<CommonParameters>]
New-ManagementRoleAssignment
   [[-Name] <String>]
   -Policy <MailboxPolicyIdParameter>
   -Role <RoleIdParameter>
   [-Confirm]
   [-CustomConfigWriteScope <ManagementScopeIdParameter>]
   [-CustomRecipientWriteScope <ManagementScopeIdParameter>]
   [-DomainController <Fqdn>]
   [-ExclusiveConfigWriteScope <ManagementScopeIdParameter>]
   [-ExclusiveRecipientWriteScope <ManagementScopeIdParameter>]
   [-Force]
   [-RecipientAdministrativeUnitScope <AdministrativeUnitIdParameter>]
   [-RecipientOrganizationalUnitScope <OrganizationalUnitIdParameter>]
   [-RecipientRelativeWriteScope <RecipientWriteScopeType>]
   [-UnScopedTopLevel]
   [-WhatIf]
   [<CommonParameters>]
New-ManagementRoleAssignment
   [[-Name] <String>]
   -Role <RoleIdParameter>
   -SecurityGroup <SecurityGroupIdParameter>
   [-Delegating]
   [-Confirm]
   [-CustomConfigWriteScope <ManagementScopeIdParameter>]
   [-CustomRecipientWriteScope <ManagementScopeIdParameter>]
   [-DomainController <Fqdn>]
   [-ExclusiveConfigWriteScope <ManagementScopeIdParameter>]
   [-ExclusiveRecipientWriteScope <ManagementScopeIdParameter>]
   [-Force]
   [-RecipientAdministrativeUnitScope <AdministrativeUnitIdParameter>]
   [-RecipientOrganizationalUnitScope <OrganizationalUnitIdParameter>]
   [-RecipientRelativeWriteScope <RecipientWriteScopeType>]
   [-UnScopedTopLevel]
   [-WhatIf]
   [<CommonParameters>]
New-ManagementRoleAssignment
   [[-Name] <String>]
   -Role <RoleIdParameter>
   -User <UserIdParameter>
   [-Delegating]
   [-Confirm]
   [-CustomConfigWriteScope <ManagementScopeIdParameter>]
   [-CustomRecipientWriteScope <ManagementScopeIdParameter>]
   [-DomainController <Fqdn>]
   [-ExclusiveConfigWriteScope <ManagementScopeIdParameter>]
   [-ExclusiveRecipientWriteScope <ManagementScopeIdParameter>]
   [-Force]
   [-RecipientAdministrativeUnitScope <AdministrativeUnitIdParameter>]
   [-RecipientOrganizationalUnitScope <OrganizationalUnitIdParameter>]
   [-RecipientRelativeWriteScope <RecipientWriteScopeType>]
   [-UnScopedTopLevel]
   [-WhatIf]
   [<CommonParameters>]

Description

Cuando agrega una nueva asignación de rol, puede especificar un rol integrado o personalizado creado mediante el cmdlet New-ManagementRole y especificar una unidad organizativa (OU) o el ámbito de administración predefinido o personalizado para restringir la asignación.

Puede crear ámbitos de administración personalizados mediante el cmdlet New-ManagementScope y puede ver una lista de ámbitos existentes mediante el cmdlet Get-ManagementScope. Si elige no especificar una unidad organizativa o un ámbito predefinido o personalizado, el ámbito de escritura implícita del role se aplica a la asignación de roles.

Para obtener más información acerca de las asignaciones de funciones de administración, vea Descripción de las asignaciones de funciones de administración.

Deberá tener asignados permisos antes de poder ejecutar este cmdlet. Aunque en este tema se enumeran todos los parámetros correspondientes a este cmdlet, tal vez no tenga acceso a algunos parámetros si no están incluidos en los permisos que se le han asignado. Para obtener los permisos necesarios para ejecutar cualquier cmdlet o parámetro en su organización, consulte Find the permissions required to run any Exchange cmdlet.

Ejemplos

Ejemplo 1

New-ManagementRoleAssignment -Role "Mail Recipients" -SecurityGroup "Tier 2 Help Desk"

Este ejemplo asigna el rol de los destinatarios de correo al grupo de roles del servicio de asistencia de capa 2.

Ejemplo 2

Get-ManagementRole "MyVoiceMail" | Format-Table Name, IsEndUserRole

New-ManagementRoleAssignment -Role "MyVoiceMail" -Policy "Sales end-users"

En este ejemplo se asigna la función MyVoiceMail a la directiva de asignación de funciones "Usuarios finales de ventas". En primer lugar, se comprueba la propiedad IsEndUserRole del rol MyVoiceMail para asegurarse de que está establecida en $true, lo que indica que es un rol de usuario final.

Después de comprobar que la función es una función de usuario final, la función se asigna a la directiva de asignación de funciones "Usuarios finales de ventas".

Ejemplo 3

New-ManagementRoleAssignment -Role "Eng Help Desk" -SecurityGroup "Eng HD Personnel" -RecipientOrganizationalUnitScope contoso.com/Engineering/Users

Este ejemplo asigna el rol Eng Help Desk al grupo de roles de Eng HD Personnel. La asignación restringe el ámbito de escritura del destinatario del rol a la unidad organizativa contoso.com/Engineering/Users. Los usuarios miembros del grupo de roles Eng HD Personnel solo pueden crear, modificar o quitar objetos contenidos en esa unidad organizativa.

Ejemplo 4

New-ManagementRoleAssignment -Role "Distribution Groups" -SecurityGroup "North America Exec Assistants" -CustomRecipientWriteScope "North America Recipients"

Este ejemplo asigna el rol de grupos de distribución al grupo de roles asistentes de ejecución de Norteamérica. La asignación restringe el ámbito de escritura del destinatario del rol al ámbito especificado en el ámbito de administración de destinatarios personalizados de destinatarios de Norteamérica. Los usuarios miembros del grupo de roles de asistentes de ejecución de Norteamérica pueden sólo crear, modificar o quitar objetos del grupo de distribución que coinciden con el ámbito de administración de destinatarios personalizados específico.

Ejemplo 5

New-ManagementRoleAssignment -Name "Exchange Servers_John" -Role "Exchange Servers" -User John -CustomConfigWriteScope "Sydney Servers"

En este ejemplo se asigna el rol servidores de Exchange a John. Dado que John solo debe administrar los servidores que ejecutan Exchange ubicado en Sídney, la asignación de roles restringe el ámbito de escritura de configuración del rol al ámbito especificado en el grupo de roles de configuración personalizado Servidores de Sídney. Jesús puede administrar solamente servidores que coincidan con el ámbito de administración de configuración personalizado especificado.

Ejemplo 6

New-ManagementRoleAssignment -Name "Excl-Mail Recipients_Executive Administrators" -Role "Mail Recipients" -SecurityGroup "Executive Administrators" -ExclusiveRecipientWriteScope "Exclusive-Executive Recipients"

Este ejemplo asigna el rol de los destinatarios de correo al grupo de roles de administradores ejecutivos. La asignación restringe el ámbito de escritura de destinatario del rol al ámbito especificado en el ámbito de administración de destinatarios exclusivo de destinatarios ejecutivos exclusivos. Dado que el ámbito de destinatarios ejecutivos exclusivos es un ámbito exclusivo, sólo los usuarios de administradores ejecutivos pueden administrar a los destinatarios ejecutivos que coinciden con el ámbito de destinatario exclusivo. Ningún otro usuario, a menos que también tenga una asignación que usa un ámbito exclusivo que coincida con los mismos usuarios, puede modificar a los destinatarios ejecutivos.

Ejemplo 7

New-ManagementRoleAssignment -Name "Mail Recipients_Contoso Seattle" -Role "Mail Recipients" -SecurityGroup "Contoso Sub - Seattle" -CustomConfigWriteScope "Contoso Databases" -RecipientOrganizationalUnitScope adatum.com/Contoso/Seattle/Users

En este ejemplo se asigna el rol Destinatarios de correo al grupo de roles Contoso Sub - Seattle. Los administradores de este grupo de roles solo deben tener permiso para crear y administrar destinatarios de correo en bases de datos específicas asignadas para su uso por la filial de Contoso, A. Datum Corporation (adatum.com). Además, este grupo de administradores solo debe tener permiso para administrar los empleados de Contoso ubicados en la oficina de Seattle. Esto se realiza mediante la creación de una asignación de roles con un ámbito de base de datos, para limitar la administración de destinatarios de correo a solo las bases de datos del ámbito de base de datos y un ámbito de unidad organizativa de destinatario, para limitar el acceso solo a los objetos de destinatario dentro de la unidad organizativa Contoso Seattle.

Parámetros

-App

Este parámetro solo está disponible en el servicio basado en la nube.

El parámetro App especifica la entidad de servicio a la que se va a asignar el rol de administración. En concreto, el valor de GUID ServiceId de la salida del cmdlet Get-ServicePrincipal (por ejemplo, 6233fba6-0198-4277-892f-9275bf728bcc).

Para obtener más información sobre las entidades de servicio, consulte Objetos de la aplicación y el servicio principal en Azure Active Directory.

No puede usar este parámetro con los cmdlets SecurityGroup, Policy o User.

Type:ServicePrincipalIdParameter
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-Computer

Este parámetro solo está disponible en Exchange local.

El parámetro Computer especifica el nombre del equipo al que asignar la función de administración.

No puede usar este parámetro con los parámetros SecurityGroup, User o Policy.

Type:ComputerIdParameter
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-Confirm

El modificador Confirm especifica si se debe mostrar u ocultar el mensaje de confirmación. Cómo afecta este modificador el cmdlet depende de si el cmdlet requiere confirmación antes de continuar.

  • Los cmdlets destructivos (por ejemplo, cmdlets Remove-*) tienen una pausa integrada que obliga a confirmar el comando antes de continuar. Para estos cmdlets, puede omitir el mensaje de confirmación mediante esta sintaxis exacta: -Confirm:$false.
  • La mayoría de los demás cmdlets (por ejemplo, los cmdlets New-* y Set-*) no tienen una pausa integrada. En estos cmdlets, si se especifica el modificador Confirm sin ningún valor, se introduce una pausa que obliga a confirmar el comando antes de continuar.
Type:SwitchParameter
Aliases:cf
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection

-CustomConfigWriteScope

Este parámetro solo está disponible en Exchange local.

El parámetro CustomConfigWriteScope especifica el ámbito de configuración existente para asociar a esta asignación de roles de administración. Si usa el parámetro CustomConfigWriteScope, no puede usar el parámetro ExclusiveConfigWriteScope. Si el nombre del ámbito de administración contiene espacios, escriba el nombre entre comillas (").

Type:ManagementScopeIdParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-CustomRecipientWriteScope

El parámetro CustomRecipientWriteScope especifica el ámbito de administración basado en destinatarios para asociar a esta asignación de roles de administración. Si el nombre del ámbito de administración contiene espacios, escriba el nombre entre comillas ("). Si usa el parámetro CustomRecipientWriteScope, no puede usar el parámetro RecipientOrganizationalUnitScopeoExclusiveRecipientWriteScope.

Type:ManagementScopeIdParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection

-CustomResourceScope

Este parámetro solo está disponible en el servicio basado en la nube.

El parámetro CustomResourceScope especifica el ámbito de administración personalizado que se va a asociar a esta asignación de roles de administración. Puede usar cualquier valor que identifique de forma única el ámbito de administración. Por ejemplo:

  • Nombre
  • Nombre completo (DN)
  • GUID

Si el valor contiene espacios, escriba el valor entre comillas (").

Use este parámetro con el parámetro App para asignar permisos a las entidades de servicio. Para obtener más información, consulte Para obtener más información sobre las entidades de servicio, consulte Objetos de aplicación y entidad de servicio en Azure Active Directory.

Type:ManagementScopeIdParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-Delegating

El modificador Delegación especifica si el usuario o USG asignado al rol puede delegar el rol a otros usuarios o grupos. No es necesario especificar un valor con este modificador.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection

-DomainController

Este parámetro solo está disponible en Exchange local.

El parámetro DomainController especifica el controlador de dominio que el cmdlet usa para leer datos de Active Directory o escribirlos. El controlador de dominio se identifica por su nombre de dominio completo (FQDN). Por ejemplo, dc01.contoso.com.

Type:Fqdn
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-ExclusiveConfigWriteScope

Este parámetro solo está disponible en Exchange local.

El parámetro ExclusiveConfigWriteScope especifica el ámbito de administración exclusivo basado en la configuración para asociar la nueva asignación de roles. Si usa el parámetro ExclusiveConfigWriteScope, no puede usar el parámetro CustomConfigWriteScope. Si el nombre del ámbito contiene espacios, inclúyalo entre comillas (").

Type:ManagementScopeIdParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-ExclusiveRecipientWriteScope

El parámetro ExclusiveRecipientWriteScope especifica el ámbito de administración exclusivo basado en el destinatario para asociar la nueva asignación de roles. Si usa el parámetro ExclusiveRecipientWriteScope, no puede usar el parámetro CustomRecipientWriteScopeoRecipientOrganizationalUnitScope. Si el nombre del ámbito contiene espacios, inclúyalo entre comillas (").

Type:ManagementScopeIdParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection

-Force

Este parámetro solo está disponible en el servicio basado en la nube.

El modificador Force oculta los mensajes de advertencia o confirmación. No es necesario especificar un valor con este modificador.

Este modificador se puede usar para ejecutar tareas mediante programación en las que no es apropiado solicitar una entrada administrativa.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-Name

El parámetro Name especifica un nombre para la nueva asignación de roles de administración. La longitud máxima del nombre es de 64 caracteres. Si el nombre de asignación de roles de administración contiene espacios, escriba el nombre entre comillas ("). Si no especifica ningún nombre, se crea uno automáticamente.

Type:String
Position:1
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection

-Policy

El parámetro Policy especifica el nombre de la directiva de asignación de roles de administración para asignar el rol de administración. Si el valor contiene espacios, escriba el valor entre comillas (").

El rol de la propiedad IsEndUserRole que especifique mediante el parámetro Role debe establecerse en $true.

No puede usar este parámetro con los parámetros App, SecurityGroup, Computer o User.

Type:MailboxPolicyIdParameter
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection

-RecipientAdministrativeUnitScope

Este parámetro solo funciona en el servicio basado en la nube.

El parámetro RecipientAdministrativeUnitScope especifica la unidad administrativa a la que se va a limitar la nueva asignación de roles.

Las unidades administrativas son contenedores de recursos de Azure Active Directory. Puede ver las unidades administrativas disponibles mediante el cmdlet Get-AdministrativeUnit.

Type:AdministrativeUnitIdParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection

-RecipientOrganizationalUnitScope

El parámetro RecipientOrganizationalUnitScope especifica la OU en la que incluir la nueva asignación de roles. Si usa el parámetro RecipientOrganizationalUnitScope, no puede usar el parámetro CustomRecipientWriteScope ni ExclusiveRecipientWriteScope. Para especificar una OU, use la sintaxis: dominio/ou. Si el nombre de la OU contiene espacios, incluya el dominio y la OU entre comillas (").

Type:OrganizationalUnitIdParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection

-RecipientRelativeWriteScope

El parámetro RecipientRelativeWriteScope especifica el tipo de restricción que aplicar al ámbito de un destinatario. Los tipos disponibles son None, Organization, MyGAL, Self y MyDistributionGroups. El parámetro RecipientRelativeWriteScopese establece automáticamente cuando se usan los parámetros CustomRecipientWriteScopeo RecipientOrganizationalUnitScope.

Aunque los valores NotApplicable, OU, MyDirectReports, CustomRecipientScope, MyExecutive, MailboxICanDelegate y ExclusiveRecipientScope aparecen en el bloque de sintaxis para este parámetro, no se pueden usar directamente en la línea de comandos. Se usan internamente por parte del cmdlet.

Type:RecipientWriteScopeType
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection

-Role

El parámetro Role especifica el rol existente para asignar. Puede usar cualquier valor que identifique de forma única el rol. Por ejemplo:

  • Nombre
  • Nombre completo (DN)
  • GUID

Si el valor contiene espacios, escriba el valor entre comillas (").

Si usa el parámetro App, no puede especificar roles de administrador o de usuario; solo puede especificar roles de aplicación (por ejemplo, "Application Mail.Read").

Type:RoleIdParameter
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection

-SecurityGroup

El parámetro SecurityGroup especifica el nombre del grupo de roles de administración o del grupo de seguridad universal habilitado para correo para asignar el rol de administración. Si el valor contiene espacios, escriba el valor entre comillas (").

No puede usar este parámetro con los parámetros App, Policy, Computer o User.

Type:SecurityGroupIdParameter
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection

-UnScopedTopLevel

Este parámetro solo está disponible en Exchange local.

De forma predeterminada, este parámetro solo está disponible en el rol Administración de roles sin ámbito y ese rol no está asignado a ningún grupo de roles. Para usar este parámetro, debe agregar el rol Administración de roles sin ámbito a un grupo de roles (por ejemplo, al grupo de roles Administración de la organización). Para obtener más información, vea Agregar un rol a un grupo de roles.

El modificador UnScopedTopLevel especifica que el rol proporcionado con el parámetro Role es un rol de administración de nivel superior sin ámbito. No es necesario especificar un valor con este modificador.

Los roles de administración de nivel superior sin ámbito solo pueden contener scripts personalizados o cmdlets que no sean de Exchange. Para obtener más información, consulte Creación de un rol sin ámbito.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-User

El parámetro User especifica el nombre o alias del usuario para asignar el rol de administración. Si el valor contiene espacios, escriba el valor entre comillas (").

No puede usar este parámetro con los parámetros App, SecurityGroup, Computer o Policy.

Type:UserIdParameter
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection

-WhatIf

El modificador WhatIf simula las acciones del comando. Puede usar este modificador para ver los cambios que se producirían, pero sin aplicar los cambios. No es necesario especificar un valor con este modificador.

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection

Entradas

Input types

Para ver los tipos de entrada que acepta este cmdlet, consulte Tipos de entrada y salida de cmdlet. Si el campo Tipo de entrada de un cmdlet está en blanco, el cmdlet no acepta datos de entrada.

Salidas

Output types

Para ver los tipos de valor devuelto (también conocidos como tipos de resultado) que acepta este cmdlet, consulte Tipos de entrada y salida de cmdlet. Si el campo Tipo de resultado está en blanco, el cmdlet no devuelve datos.