Creazione di gruppi di ruoli collegati che riflettono gruppi di ruoli incorporati

 

Si applica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Ultima modifica dell'argomento: 2012-07-23

Tramite i gruppi di ruoli di gestione collegati disponibili in Microsoft Exchange Server 2010, è possibile collegare un gruppo di ruoli di una foresta di risorse di Exchange 2010 a un gruppo di protezione universale appartenente a una foresta di utenti esterna. Questa funzionalità è utile quando si desidera che gli amministratori con account nella foresta di utenti gestiscano i server su cui è in esecuzione Exchange nella foresta di risorse. Per ulteriori informazioni sui gruppi di ruoli collegati, vedere Informazioni sui gruppi del ruolo di gestione.

Per impostazione predefinita, in Exchange 2010 è incorporato un numero di gruppi di ruoli che forniscono le autorizzazioni necessarie per gestire una grande varietà di funzionalità e mansioni. Ciascun gruppo di ruoli è stato ideato per l'attribuzione di autorizzazioni specifiche per ogni funzionalità e mansione. Tuttavia, tali gruppi di ruoli non possono essere collegati ai gruppi di protezione universale di una foresta esterna. In altre parole, possono contenere solo gli utenti e i gruppi di protezione universale appartenenti alla foresta di risorse locali. Fortunatamente, è possibile replicare tali gruppi utilizzando i gruppi di ruoli collegati.

È possibile ricreare ciascun gruppo di ruoli incorporato come gruppo di ruoli collegato. Al nuovo gruppo di ruoli collegato vengono aggiunti tutti i ruoli e gli ambiti di gestione assegnati a ciascun gruppo di ruoli. Per ulteriori informazioni sui ruoli e sugli ambiti di gestione, vedere i seguenti argomenti:

Per informazioni sulle altre attività di gestione relative ai gruppi di ruolo, vedere Gestione dell'amministratore e degli utenti esperti.

Prerequisiti

  • Per configurare un gruppo di ruoli collegato è necessario che vi sia un trust unidirezionale tra la foresta di risorse Active Directory in cui il gruppo sarà ubicato e la foresta Active Directory esterna a cui appartengono gli utenti o i gruppi di protezione universale. La foresta di risorse deve considerare attendibile la foresta esterna.

  • È necessario disporre delle seguenti informazioni sulla foresta esterna di Active Directory:

    • Credenziali   È necessario disporre di un nome utente e di una password per poter accedere alla foresta esterna di Active Directory. Queste informazioni vengono utilizzate con il parametro LinkedCredential sul cmdlet New-RoleGroup. È possibile ottenere queste informazioni eseguendo il cmdlet Get-Credential. Il formato del nome utente è dominio\nomeutente.

    • Controller di dominio   È necessario disporre del nome di dominio completo (FQDN) di un controller di dominio di Active Directory nella foresta esterna di Active Directory. Queste informazioni vengono utilizzate con il parametro LinkedDomainController sul cmdlet New-RoleGroup.

    • Gruppo di protezione universale esterno   È necessario disporre del nome completo di un gruppo di protezione universale nella foresta esterna di Active Directory che contiene i membri che si desidera associare al gruppo di ruoli collegato. Queste informazioni vengono utilizzate con il parametro LinkedForeignGroup sul cmdlet New-RoleGroup.

Utilizzo di Shell per creare gruppi di ruoli collegati che replichino gruppi di ruoli incorporati

È necessario disporre delle autorizzazioni prima di poter eseguire questa procedura. Per visualizzare quali autorizzazioni sono necessarie, vedere "Gruppi di ruolo" nell'argomento Autorizzazioni per la gestione del ruolo.

Nota

Non è possibile utilizzare EMC per creare gruppi di ruoli collegati che replichino gruppi di ruoli incorporati

Ciascuna delle seguenti sezioni mostra come rigenerare ciascun gruppo di ruoli come gruppo di ruoli collegato. Completare le procedure descritte in ogni sezione e generare, così, tutti i gruppi di ruoli incorporati come gruppi di ruoli collegati.

Creazione del gruppo di ruoli collegato Organization Management

Per ricreare il gruppo di ruoli Gestione organizzazione come gruppo di ruoli collegato, è prevista una procedura diversa da quella usata per ricreare gli altri gruppi di ruoli incorporati. Questo si spiega con il fatto che tra il gruppo di ruoli Gestione organizzazione e tutti i gruppi di gestione esistono assegnazioni di ruolo di delega che, per poter essere rigenerate, richiedono un passaggio ulteriore.

  1. Creare un gruppo di protezione universale nella foresta esterna da collegare al gruppo di ruoli Gestione organizzazione.

  2. Archiviare le credenziali della foresta esterna di Active Directory in una variabile.

    $ForeignCredential = Get-Credential
    
  3. Memorizzare tutti i ruoli assegnati al gruppo di ruoli Gestione organizzazione in una variabile.

    $OrgMgmt  = Get-RoleGroup "Organization Management"
    
  4. Creare il gruppo di ruoli Gestione organizzazione collegato e aggiungere i ruoli assegnati al gruppo di ruoli Gestione organizzazione incorporato.

    New-RoleGroup "Organization Management - Linked" -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign ExADNoMk domain controller> -LinkedCredential $ForeignCredential -Roles $OrgMgmt.Roles
    
  5. Rimuovere tutte le assegnazioni regolari esistenti tra il nuovo gruppo di ruoli collegato Gestione organizzazione e i ruoli utente My*.

    Get-ManagementRoleAssignment -RoleAssignee "Organization Management - Linked" -Role My* | Remove-ManagementRoleAssignment
    
  6. Aggiungere le assegnazioni di ruolo di delega tra il nuovo gruppo di ruoli collegato Gestione organizzazione e tutti i ruoli di gestione.

    Get-ManagementRole | New-ManagementRoleAssignment -SecurityGroup "Organization Management - Linked" -Delegating
    

In questo esempio si presuppone che vengano utilizzati i seguenti valori per ogni parametro:

  • LinkedForeignGroup   Organization Management Administrators

  • LinkedDomainController   DC01.users.contoso.com

Utilizzando i valori precedenti, in questo esempio il gruppo di ruoli Gestione organizzazione viene ricreato come gruppo di ruoli collegato.

$ForeignCredential = Get-Credential
$OrgMgmt  = Get-RoleGroup "Organization Management"
New-RoleGroup "Organization Management - Linked" -LinkedForeignGroup "Organization Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $OrgMgmt.Roles
Get-ManagementRoleAssignment -RoleAssignee "Organization Management - Linked" -Role My* | Remove-ManagementRoleAssignment
Get-ManagementRole | New-ManagementRoleAssignment -SecurityGroup "Organization Management - Linked" -Delegating

Creare tutti gli altri gruppi di ruoli collegati

Per ricreare i gruppi di ruoli incorporati (tutti, eccetto il gruppo di ruoli Gestione organizzazione) come gruppi di ruoli collegati, utilizzare la seguente procedura per ciascuno di essi.

  1. Creare un gruppo di protezione universale, nella foresta esterna, per ciascun gruppo di ruoli che verrà collegato a ogni nuovo gruppo di ruoli.

  2. Archiviare le credenziali della foresta esterna di Active Directory in una variabile. È necessario eseguire questa operazione una sola volta.

    $ForeignCredential = Get-Credential
    
  3. Caricare l'elenco dei gruppi di ruoli utilizzando il seguente cmdlet.

    Get-RoleGroup
    
  4. Per ogni gruppo di ruoli, eccetto il gruppo di ruoli Gestione organizzazione, fare quanto segue.

    $RoleGroup = Get-RoleGroup <name of role group to re-create>
    New-RoleGroup "<role group name> - Linked" -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles
    
  5. Ripetere il passo precedente per ciascun gruppo di ruoli incorporato che si desidera ricreare come gruppo di ruoli collegato.

In questo esempio si presuppone che vengano utilizzati i seguenti valori per ogni parametro:

  • LinkedDomainController   DC01.users.contoso.com

  • Gruppi di ruoli incorporati da ricreare come gruppi di ruoli collegati   Recipient Management, Server Management

  • Gruppo esterno per il gruppo di ruoli collegato Recipient Management   Recipient Management Administrators

  • Gruppo esterno per il gruppo di ruoli collegato Server Management   Server Management Administrators

Utilizzando i valori precedenti, in questo esempio i gruppi di ruoli Gestione destinatari e Server Management vengono ricreati come gruppi di ruoli collegati.

$ForeignCredential = Get-Credential
Get-RoleGroup
$RoleGroup = Get-RoleGroup "Recipient Management"
New-RoleGroup "Recipient Management - Linked" -LinkedForeignGroup "Recipient Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles
$RoleGroup = Get-RoleGroup "Server Management"
New-RoleGroup "Server Management - Linked" -LinkedForeignGroup "Server Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles

Altre attività

Una volta configurati i gruppi di ruoli collegati, è possibile anche effettuare le seguenti operazioni:

 ©2010 Microsoft Corporation. Tutti i diritti riservati.