Создание связанных групп ролей, которые являются зеркальным отражением встроенных групп ролей

Область применения: Exchange Server 2013 г.

С помощью связанных групп ролей управления в Microsoft Exchange Server 2013 можно связать группу ролей в лесу ресурсов Exchange 2013 с универсальной группой безопасности (USG) в лесу иностранных пользователей. Это полезно, если требуется, чтобы администраторы с учетными записями в лесу пользователей управляли серверами, на которых запущен Exchange, в лесу ресурсов. Дополнительные сведения о связанных группах ролей см. в разделе Общие сведения о группах ролей управления.

По умолчанию Exchange 2013 включает в себя несколько встроенных групп ролей, предоставляющих разрешения для управления множеством функций и должностных обязанностей. Каждая группа ролей настроена на предоставление определенных разрешений для каждой функции и должностной обязанности. Однако эти группы ролей могут быть связаны с универсальными группами безопасности во внешнем лесу. Они могут содержать только пользователей и универсальные группы безопасности из леса локальных ресурсов. Однако эти встроенные группы ролей возможно реплицировать с помощью связанных групп ролей.

Вы можете повторно создать каждую встроенную группу ролей в виде связанной группы ролей. Все роли управления и области управления, назначенные каждой группе ролей, добавляются в новую связанную группу ролей. Дополнительные сведения о ролях управления и областях см. в следующих разделах:

Ищете другие задачи управления, связанные с группами ролей? См. сведения о разрешениях.

Что нужно знать перед началом работы

  • Предполагаемое время для завершения каждой процедуры: 10 минут

  • Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "Группы ролей" в разделе Разрешения для управления ролями .

  • Для выполнения этих процедур необходимо использовать командную консоль Exchange.

  • Для настройки связанной группы ролей необходимо одностороннее доверие между лесом ресурсов Active Directory, в котором находится связанная группа ролей и внешним лесом Active Directory, в котором находятся пользователи или универсальные группы безопасности. Лес ресурсов должен иметь отношения доверия с внешним лесом.

  • Необходимо иметь следующие сведения о внешнем лесе Active Directory:

    • Учетные данные. У вас должны быть имя пользователя и пароль, которые могут получить доступ к внешнему лесу Active Directory. Эти сведения используются с параметром LinkedCredential в командлете New-RoleGroup . Данные можно получить с помощью командлета Get-Credential. Формат имени пользователя —имя пользователядомена\.

    • Контроллер домена. Необходимо иметь полное доменное имя (FQDN) контроллера домена Active Directory в внешнем лесу Active Directory. Эти сведения используются с параметром LinkedDomainController в командлете New-RoleGroup .

    • Заграничный usg. Необходимо иметь полное имя usG в внешнем лесу Active Directory, который содержит участников, которые вы хотите связать со связанной группой ролей. Эти сведения используются с параметром LinkedForeignGroup в командлете New-RoleGroup .

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.

Совет

Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по адресу Exchange Server.

Использование командной консоли для создания связанных групп ролей, реплицирующих встроенные группы ролей

В каждом из следующих разделов показано, как создать заново каждую группу ролей как связанную группу ролей. Следуйте инструкциям в каждом разделе для повторного создания всех встроенных групп ролей как связанных групп ролей.

Создание связанной группы ролей управления организацией

Процесс повторного создания группы ролей Управление организацией как связанной группы отличается от процесса повторного создания других встроенных групп ролей. Это связано с тем, что группа ролей Управление организацией имеет назначения ролей делегирования между самой группой и всеми ролями управления. Для повторного создания назначений ролей делегирования требуется дополнительный шаг.

  1. Создайте универсальную группу безопасности во внешнем лесу, которая будет связана с группой ролей Управление организацией.

  2. Сохраните учетные данные внешнего леса Active Directory в переменной.

    $ForeignCredential = Get-Credential
    
  3. Сохраните все роли, назначенные группе ролей Управление организацией в переменной.

    $OrgMgmt  = Get-RoleGroup "Organization Management"
    
  4. Создайте связанную группу ролей Управление организацией и добавьте роли, назначенные встроенной группе ролей Управление организацией.

    New-RoleGroup "Organization Management - Linked" -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -Roles $OrgMgmt.Roles
    
  5. Удалите все регулярные назначения между новой связанной группой ролей "Управление организацией" и ролями "Мой* конечный пользователь".

    Get-ManagementRoleAssignment -RoleAssignee "Organization Management - Linked" -Role My* | Remove-ManagementRoleAssignment
    
  6. Добавьте назначения ролей делегирования между новой связанной группой ролей Управление организацией и всеми ролями управления.

    Get-ManagementRole | New-ManagementRoleAssignment -SecurityGroup "Organization Management - Linked" -Delegating
    

В этом примере предполагается, что для каждого параметра используются следующие значения:

  • LinkedForeignGroup: Organization Management Administrators

  • LinkedDomainController: DC01.users.contoso.com

В этом примере группа ролей Управление организацией создается заново как связанная группа ролей с помощью значений, полученных в предыдущем шаге.

$ForeignCredential = Get-Credential
$OrgMgmt  = Get-RoleGroup "Organization Management"
New-RoleGroup "Organization Management - Linked" -LinkedForeignGroup "Organization Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $OrgMgmt.Roles
Get-ManagementRoleAssignment -RoleAssignee "Organization Management - Linked" -Role My* | Remove-ManagementRoleAssignment
Get-ManagementRole | New-ManagementRoleAssignment -SecurityGroup "Organization Management - Linked" -Delegating

Создание других связанных групп ролей

Чтобы заново создать встроенные группы ролей (отличные от группы ролей Управление организацией) в качестве связанных групп ролей, используйте следующую процедуру для каждой группы.

  1. Создайте универсальную группу безопасности во внешнем лесу для каждой группы ролей, которая будет связана с каждой новой группой ролей.

  2. Сохраните учетные данные внешнего леса Active Directory в переменной. Это необходимо сделать только один раз.

    $ForeignCredential = Get-Credential
    
  3. Получите список групп ролей, используя следующий командлет.

    Get-RoleGroup
    
  4. Для каждой группы ролей, отличной от группы ролей Управление организацией, выполните следующие действия.

    $RoleGroup = Get-RoleGroup <name of role group to re-create>
    New-RoleGroup "<role group name> - Linked" -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles
    
  5. Повторите предыдущий шаг для каждой встроенной группы ролей, которую необходимо создать заново в качестве связанной группы ролей.

В этом примере предполагается, что для каждого параметра используются следующие значения:

  • LinkedDomainController: DC01.users.contoso.com

  • Встроенные группы ролей для повторного создания в виде связанных групп ролей: Recipient Management, Server Management

  • Внешняя группа для связанной группы ролей управления получателями: Recipient Management Administrators

  • Внешняя группа для связанной группы ролей управления серверами: Server Management Administrators

В этом примере Управление получателями и группы ролей управления сервером создаются заново как связанные группы ролей с помощью значений, полученных в предыдущем шаге.

$ForeignCredential = Get-Credential
Get-RoleGroup
$RoleGroup = Get-RoleGroup "Recipient Management"
New-RoleGroup "Recipient Management - Linked" -LinkedForeignGroup "Recipient Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles
$RoleGroup = Get-RoleGroup "Server Management"
New-RoleGroup "Server Management - Linked" -LinkedForeignGroup "Server Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles

Другие задачи

После создания связанных групп ролей можно выполнить другие действия:

Добавить участников во внешние универсальные группы безопасности с помощью Active Directory "Пользователи и компьютеры" во внешнем лесу.

Удаление членов встроенных групп ролей. Дополнительные сведения см. в разделе Управление членами группы ролей.

Добавление, удаление или изменение области ролей в новых связанных группах ролей. Дополнительные сведения см. в разделе Управление группами ролей.

Создание дополнительных связанных групп ролей. Дополнительные сведения см. в разделе Управление связанными группами ролей.