Criar um escopo normal ou exclusivo

Aplica-se a: Exchange Server 2013

Os escopos de função de gerenciamento determinam quais objetos são disponibilizados a um usuário para que os objetos possam ser alterados por meio dos cmdlets e parâmetros associados a eles. Ao adicionar um escopo de gerenciamento, você pode configurar atribuições de função de gerenciamento para que os usuários possam administrar servidores, bancos de dados, destinatários e outros objetos específicos em sua organização enquanto estão impedidos de alterar outros objetos.

Importante

Ao criar um escopo regular ou exclusivo, você substitui o escopo de gravação definido na função de gerenciamento que você está atribuindo. Você não pode substituir o escopo de leitura configurado na função de gerenciamento.

Você pode criar um escopo de gerenciamento personalizado e adicionar ou alterar uma atribuição de função de gerenciamento. Se você quiser criar uma atribuição de função de gerenciamento com um escopo de gerenciamento de OU (unidade organizacional ou predefinida), consulte Adicionar uma função a um usuário ou USG.

Para mais informações sobre os escopos e as atribuições de função de gerenciamento no Microsoft Exchange Server 2013, consulte estes tópicos:

Procurando outras tarefas de gerenciamento relacionadas a escopos? Consulte Permissões avançadas.

Do que você precisa saber para começar?

  • Tempo estimado para concluir cada procedimento: 5 minutos

  • Para executar este procedimento ou estes procedimentos, você precisa receber permissões. Para ver de que permissões você precisa, consulte o Entrada "Escopos de gerenciamento" no tópico Permissões de gerenciamento de função.

  • Você deve usar o Shell para executar estes procedimentos.

  • Para informações sobre atalhos de teclado que possam se aplicar aos procedimentos neste tópico, confira Atalhos de teclado no Centro de Administração do Exchange.

Dica

Está com problemas? Peça ajuda nos fóruns do Exchange. Visite os fóruns no Exchange Server.

Etapa 1: criar um escopo personalizado

Para criar um escopo personalizado, escolha um dos seguintes tipos de escopos.

Escopo de filtro de destinatário

Os escopos baseados em filtro do destinatário são criados usando o parâmetro RecipientRestrictionFilter no cmdlet New-ManagementScope . Ao criar um filtro de destinatário, além das propriedades do destinatário a serem filtradas, você pode especificar a OU na qual a consulta de filtro é executada. Quando você especifica uma OU base, restringe ainda mais o escopo de gravação da função.

Para obter mais informações sobre filtros de escopo de gerenciamento, consulte Noções básicas sobre filtros do escopo de função de gerenciamento.

Use a sintaxe a seguir para criar um escopo de filtro de restrição de domínio com uma OU base.

New-ManagementScope -Name <scope name> -RecipientRestrictionFilter <filter query> [-RecipientRoot <OU>]

Este exemplo cria um escopo que inclui todas as caixas de correio na OU contoso.com/Sales.

New-ManagementScope -Name "Mailboxes in Sales OU" -RecipientRestrictionFilter "RecipientType -eq 'UserMailbox'" -RecipientRoot "contoso.com/Sales OU"

Observação

Você pode omitir o parâmetro RecipientRoot se quiser que o filtro seja aplicado a todo o escopo implícito de leitura da função de gerenciamento e não apenas em uma OU específica.

Para informações detalhadas de sintaxes e de parâmetros, consulte New-ManagementScope.

Escopo de configuração do filtro do servidor

Os escopos de configuração baseados em filtro do servidor são criados usando o parâmetro ServerRestrictionFilter no cmdlet New-ManagementScope . Um filtro de servidor permite criar um escopo que se aplica apenas aos servidores que correspondem ao filtro especificado.

Para obter mais informações sobre filtros de escopo de gerenciamento e para obter uma lista de propriedades de servidor filtrados, confira Entender filtros de escopo de função de gerenciamento.

Use a sintaxe a seguir para criar um escopo de filtro de servidor.

New-ManagementScope -Name <scope name> -ServerRestrictionFilter <filter query>

Este exemplo cria um escopo que inclui todos os servidores no site do AD (Active Directory) 'CN=Redmond,CN=Sites,CN=Configuration,DC=contoso,DC=com'.

New-ManagementScope -Name "Servers in Seattle AD site" -ServerRestrictionFilter "ServerSite -eq 'CN=Redmond,CN=Sites,CN=Configuration,DC=contoso,DC=com'"

Para informações detalhadas de sintaxes e de parâmetros, consulte New-ManagementScope.

Escopo de configuração da lista de servidores

Os escopos de configuração baseados em lista de servidores são criados usando o parâmetro ServerList no cmdlet New-ManagementScope . Um escopo de lista de servidores permite criar um escopo que se aplica apenas aos servidores especificados em uma lista.

Use a sintaxe a seguir para criar um escopo de lista de servidores.

New-ManagementScope -Name <scope name> -ServerList <server 1>, <server 2...>

Este exemplo cria um escopo que se aplica apenas a MBX1, MBX3 e MBX5.

New-ManagementScope -Name "Mailbox servers" -ServerList MBX1,MBX3,MBX5

Para informações detalhadas de sintaxes e de parâmetros, consulte New-ManagementScope.

Escopo de configuração do filtro de banco de dados

Os escopos de configuração baseados em filtro de banco de dados são criados usando o parâmetro DatabaseRestrictionFilter no cmdlet New-ManagementScope . Um filtro de banco de dados permite criar um escopo que se aplica apenas aos bancos de dados que correspondem ao filtro especificado.

Importante

As atribuições de função associadas aos escopos de banco de dados são aplicadas somente aos usuários que se conectam aos servidores com Microsoft Exchange Server 2010 Service Pack 1 (SP1) ou posterior ou Exchange 2013. Se um usuário atribuir uma atribuição de função associada a um escopo de banco de dados se conectar a um servidor SP1 pré-Exchange 2010, a atribuição de função não será aplicada ao usuário e o usuário não receberá nenhuma permissão fornecida pela atribuição de função.

Para obter mais informações sobre filtros de escopo de gerenciamento e para obter uma lista de propriedades de banco de dados filtradas, consulte Noções básicas sobre filtros de escopo de função de gerenciamento.

Use a sintaxe a seguir para criar um filtro de restrição de banco de dados.

New-ManagementScope -Name <scope name> -DatabaseRestrictionFilter <filter query>

Este exemplo cria um escopo que inclui todos os bancos de dados que contêm a cadeia de caracteres "Executivo" na propriedade Name do banco de dados.

New-ManagementScope -Name "Executive Databases" -DatabaseRestrictionFilter "Name -Like '*Executive*'"

Para informações detalhadas de sintaxes e de parâmetros, consulte New-ManagementScope.

Escopo de configuração da lista de banco de dados

Os escopos de configuração baseados em lista de banco de dados são criados usando o parâmetro DatabaseList no cmdlet New-ManagementScope . Um escopo de lista de banco de dados permite criar um escopo que se aplica apenas aos bancos de dados especificados em uma lista.

Importante

As atribuições de função associadas aos escopos de banco de dados são aplicadas somente aos usuários que se conectam aos servidores com Microsoft Exchange Server 2010 Service Pack 1 (SP1) ou posterior ou Exchange 2013. Se um usuário atribuir uma atribuição de função associada a um escopo de banco de dados se conectar a um servidor SP1 pré-Exchange 2010, a atribuição de função não será aplicada ao usuário e o usuário não receberá nenhuma permissão fornecida pela atribuição de função.

Use a seguinte sintaxe para criar um escopo de lista de bancos de dados.

New-ManagementScope -Name <scope name> -DatabaseList <database 1>, <database 2...>

Esse exemplo cria um escopo que se aplica somente aos bancos de dados Banco de Dados 1, Banco de Dados 2 e Banco de Dados 3.

New-ManagementScope -Name "Primary databases" -DatabaseList "Database 1", "Database 2", "Database 3"

Para informações detalhadas de sintaxes e de parâmetros, consulte New-ManagementScope.

Escopo exclusivo

Qualquer escopo criado com o cmdlet New-ManagementScope pode ser designado como um escopo exclusivo. Para criar um escopo exclusivo, você usa os mesmos comandos em uma das seções anteriores para criar um escopo baseado em filtro do destinatário, escopo baseado em filtro de servidor, escopo baseado em lista de servidor, escopo baseado em filtro de banco de dados ou escopo baseado em lista de banco de dados e, em seguida, adicionar a opção Exclusiva ao comando.

Aviso

Quando você cria escopos de gerenciamento exclusivos, somente a função atribui escopos exclusivos atribuídos que contêm objetos a serem modificados podem acessar esses objetos. Somente esses administradores atribuídos a uma função com o escopo exclusivo podem acessar esses objetos exclusivos ou protegidos.

Este exemplo cria um escopo exclusivo baseado em filtro de destinatário que corresponde a qualquer usuário no departamento executivo.

New-ManagementScope "Executive Users Exclusive Scope" -RecipientRestrictionFilter "Department -Eq 'Executives'" -Exclusive

Por padrão, quando um escopo exclusivo é criado, você é obrigado a reconhecer que criou um escopo exclusivo e que está ciente do impacto que um escopo exclusivo tem em atribuições de função existentes que não são exclusivas. Se você quiser suprimir o aviso, poderá usar o comutador Force . Este exemplo cria o mesmo escopo do exemplo anterior, mas sem um aviso.

New-ManagementScope "Executive Users Exclusive Scope" -RecipientRestrictionFilter "Department -Eq 'Executives'" -Exclusive -Force

Para informações detalhadas de sintaxes e de parâmetros, consulte New-ManagementScope.

Etapa 2: Adicionar ou alterar uma atribuição de função de gerenciamento

Depois de criar o escopo, você deve adicioná-lo a uma nova função de gerenciamento existente.

Se você criar um escopo de gerenciamento e quiser adicioná-lo a uma nova atribuição de função de gerenciamento que você criará, confira os seguintes tópicos:

Se você criar um escopo de função de gerenciamento e quiser adicioná-lo a uma atribuição de função de gerenciamento existente, confira os seguintes tópicos: