Criar grupos de função vinculados que espelhem grupos de função integrados

Aplica-se a: Exchange Server 2013

Usando grupos de funções de gerenciamento vinculados no Microsoft Exchange Server 2013, você pode vincular um grupo de funções em uma floresta de recursos do Exchange 2013 com um USG (grupo de segurança universal) em uma floresta de usuários estrangeira. Isso é útil quando você deseja que administradores com contas na floresta de usuários gerenciem os servidores que executam o Exchange na floresta de recursos. Para obter mais informações sobre grupos de funções vinculadas, consulte Entender grupos de funções de gerenciamento.

Por padrão, o Exchange 2013 inclui vários grupos de funções internos que fornecem permissões para gerenciar uma variedade de recursos e funções de trabalho. Cada grupo de funções é adaptado para fornecer permissões específicas para cada recurso e função de trabalho. No entanto, esses grupos de funções não podem ser ligados a USGs em uma floresta estrangeira. Eles só podem conter usuários e USGs da floresta de recursos local. Felizmente, é possível replicar esses grupos de funções internos usando grupos de funções vinculados.

Você pode recriar cada grupo de função interno como um grupo de função vinculado. Todas as funções de gerenciamento e os escopos de gerenciamento atribuídos a cada grupo de funções são adicionados ao novo grupo de funções vinculadas. Para obter mais informações sobre funções de gerenciamento e escopos, confira os seguintes tópicos:

Procurando outras tarefas de gerenciamento relacionadas a grupos de função? Confira Permissões.

Do que você precisa saber para começar?

  • Tempo estimado para finalizar cada procedimento: 10 minutos

  • Para executar este procedimento ou estes procedimentos, você precisa receber permissões. Para ver de que permissões você precisa, consulte o Entrada "Grupos de função" no tópico Permissões de gerenciamento de função .

  • Você deve usar o Shell para executar estes procedimentos.

  • A configuração de um grupo de funções vinculadas requer uma confiança unidirecional entre a floresta de recursos do Active Directory na qual o grupo de funções vinculadas residirá e a floresta estrangeira do Active Directory em que os usuários ou USGs residem. A floresta de recursos deve confiar na floresta externa.

  • Você deve ter as seguintes informações sobre a floresta do Active Directory estrangeiro:

    • Credenciais: você deve ter um nome de usuário e uma senha que possam acessar a floresta do Active Directory estrangeira. Essa informação é usada com o parâmetro LinkedCredential no cmdlet New-RoleGroup. Essas informações são obtidas executando o cmdlet Get-Credential . O formato do nome de usuário é nomede usuário dedomínio\.

    • Controlador de domínio: você deve ter o FQDN (nome de domínio totalmente qualificado) de um controlador de domínio do Active Directory na floresta do Active Directory estrangeiro. Essa informação é usada com o parâmetro LinkedDomainController no cmdlet New-RoleGroup.

    • USG estrangeiro: você deve ter o nome completo de um USG na floresta do Active Directory estrangeiro que contém os membros que você deseja associar ao grupo de funções vinculados. Essa informação é usada com o parâmetro LinkedForeignGroup no cmdlet New-RoleGroup.

  • Para informações sobre atalhos de teclado que possam se aplicar aos procedimentos neste tópico, confira Atalhos de teclado no Centro de Administração do Exchange.

Dica

Está com problemas? Peça ajuda nos fóruns do Exchange. Visite os fóruns no Exchange Server.

Use o Shell para criar grupos de funções vinculados que replicam grupos de funções internos

Cada uma das seções a seguir mostra como recriar cada grupo de funções como um grupo de função vinculado. Conclua os procedimentos em cada seção para recriar todos os grupos de funções internos como grupos de funções vinculados.

Criar o grupo de funções vinculadas do Gerenciamento de Organizações

Para recriar o grupo de funções gerenciamento de organização como um grupo de funções vinculadas, você executa um procedimento diferente do procedimento usado para recriar outros grupos de funções internos. Isso ocorre porque o grupo de funções gerenciamento de organização tem atribuições de função delegadas entre ela e todas as funções de gerenciamento. A recriação das atribuições de função delegada requer uma etapa adicional.

  1. Crie um USG na floresta estrangeira que será vinculado ao grupo de funções gerenciamento de organização.

  2. Armazene as credenciais de floresta do Active Directory estrangeiras em uma variável.

    $ForeignCredential = Get-Credential
    
  3. Armazene todas as funções atribuídas ao grupo de funções gerenciamento de organização em uma variável.

    $OrgMgmt  = Get-RoleGroup "Organization Management"
    
  4. Crie o grupo de funções vinculadas do Gerenciamento de Organização e adicione as funções atribuídas ao grupo de funções internas de Gerenciamento de Organização.

    New-RoleGroup "Organization Management - Linked" -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -Roles $OrgMgmt.Roles
    
  5. Remova todas as atribuições regulares entre o novo grupo de funções vinculadas do Gerenciamento de Organização e as funções de usuário final My*.

    Get-ManagementRoleAssignment -RoleAssignee "Organization Management - Linked" -Role My* | Remove-ManagementRoleAssignment
    
  6. Adicione atribuições de função delegada entre o novo grupo de funções vinculadas do Gerenciamento de Organização e todas as funções de gerenciamento.

    Get-ManagementRole | New-ManagementRoleAssignment -SecurityGroup "Organization Management - Linked" -Delegating
    

Este exemplo pressupõe que os seguintes valores sejam usados para cada parâmetro:

  • LinkedForeignGroup: Organization Management Administrators

  • LinkedDomainController: DC01.users.contoso.com

Usando os valores anteriores, este exemplo recria o grupo de funções gerenciamento de organização como um grupo de funções vinculadas.

$ForeignCredential = Get-Credential
$OrgMgmt  = Get-RoleGroup "Organization Management"
New-RoleGroup "Organization Management - Linked" -LinkedForeignGroup "Organization Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $OrgMgmt.Roles
Get-ManagementRoleAssignment -RoleAssignee "Organization Management - Linked" -Role My* | Remove-ManagementRoleAssignment
Get-ManagementRole | New-ManagementRoleAssignment -SecurityGroup "Organization Management - Linked" -Delegating

Criar todos os outros grupos de funções vinculados

Para recriar os grupos de funções internos (diferente do grupo de funções gerenciamento de organização) como grupos de funções vinculadas, use o procedimento a seguir para cada grupo.

  1. Crie um USG na floresta estrangeira para cada grupo de funções que será vinculado a cada novo grupo de funções.

  2. Armazene as credenciais de floresta do Active Directory estrangeiras em uma variável. Você só precisa fazer isso uma vez.

    $ForeignCredential = Get-Credential
    
  3. Recupere uma lista de grupos de funções usando o cmdlet a seguir.

    Get-RoleGroup
    
  4. Para cada grupo de funções, além do grupo de funções gerenciamento de organização, faça o seguinte.

    $RoleGroup = Get-RoleGroup <name of role group to re-create>
    New-RoleGroup "<role group name> - Linked" -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles
    
  5. Repita a etapa anterior para cada grupo de funções internas que você deseja recriar como um grupo de função vinculado.

Este exemplo pressupõe que os seguintes valores sejam usados para cada parâmetro:

  • LinkedDomainController: DC01.users.contoso.com

  • Grupos de funções internos a serem recriados como grupos de funções vinculados: Recipient Management, Server Management

  • Grupo estrangeiro para grupo de funções vinculadas do Gerenciamento de Destinatários: Recipient Management Administrators

  • Grupo estrangeiro para grupo de funções vinculadas do Gerenciamento de Servidores: Server Management Administrators

Usando os valores anteriores, este exemplo recria os grupos de funções Gerenciamento de Destinatário e Gerenciamento de Servidor como grupos de funções vinculadas.

$ForeignCredential = Get-Credential
Get-RoleGroup
$RoleGroup = Get-RoleGroup "Recipient Management"
New-RoleGroup "Recipient Management - Linked" -LinkedForeignGroup "Recipient Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles
$RoleGroup = Get-RoleGroup "Server Management"
New-RoleGroup "Server Management - Linked" -LinkedForeignGroup "Server Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles

Outras tarefas

Depois de criar grupos de função vinculados, você também pode querer:

Adicione membros aos USGs estrangeiros usando Usuários e Computadores do Active Directory na floresta estrangeira.

Remova membros de grupos de funções internos. Para mais informações, consulte Gerenciar membros do grupo de função.

Adicione, remova ou altere o escopo das funções nos novos grupos de funções vinculadas. Para obter mais informações, consulte Gerenciar grupos de funções.

Crie grupos de funções vinculados adicionais. Para obter mais informações, consulte Gerenciar grupos de funções vinculadas.