Administrar directivas de asignación de roles
Se aplica a: Exchange Server 2013
Si desea personalizar los permisos que asigna a un grupo de usuarios finales, cree una nueva directiva de asignación de roles de administración. La directiva de asignación que crea se puede personalizar para adecuarla a los requisitos concretos del usuario final. Para obtener más información acerca de las directivas de asignación en Microsoft Exchange Server 2013, consulte Descripción de las directivas de asignación de roles de administración.
¿Busca otras tareas de administración relacionadas con los permisos de administración? Consulte Permisos.
¿Qué necesita saber antes de empezar?
Tiempo estimado para completar cada procedimiento: 5 minutos
Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento o procedimientos. Para ver qué permisos necesita, consulte el Entrada "Directivas de asignación" en el tema Permisos de administración de roles.
Para obtener información acerca de los métodos abreviados de teclado aplicables a los procedimientos de este tema, consulte Métodos abreviados de teclado en el Centro de administración de Exchange.
Sugerencia
¿Problemas? Solicite ayuda en los foros de Exchange. Visite los foros en Exchange Server.
Agregar una directiva de asignación
Una vez creada la nueva directiva de asignación, puede asignarle usuarios. Para obtener más información, consulte Cambiar la directiva de asignación en un buzón.
Uso del EAC para crear una nueva directiva de asignación
Nota:
Solo puede crear directivas de asignación explícitas con el Centro de administración de Exchange (EAC). Para crear una directiva de asignación predeterminada tiene que usar el Shell de administración de Exchange. Para obtener más información, consulte la sección "Uso del Shell para crear una directiva de asignación predeterminada", más adelante en este tema.
En el EAC, vaya a Permisos>Roles de usuario y haga clic en .
En la ventana de directiva de asignación de roles, especifique un nombre para la nueva directiva de asignación.
Active la casilla que hay junto al rol o los roles que desea añadir a la directiva de asignación. Puede seleccionar varios roles, incluyendo los roles de usuario final que ha agregado. Si selecciona un rol con roles subordinados, estos se seleccionan automáticamente.
Haga clic en Guardar para guardar los cambios en la directiva de asignación.
Uso del Shell para crear una directiva de asignación explícita
Para crear una directiva de asignación explícita que se pueda asignar manualmente a buzones, use la sintaxis siguiente.
New-RoleAssignmentPolicy <assignment policy name> -Roles <roles to assign>
En este ejemplo se crea la directiva de asignación explícita Configuración limitada del buzón de correo y se le asignan los MyBaseOptions
roles , MyAddressInformation
y MyDisplayName
.
New-RoleAssignmentPolicy "Limited Mailbox Configuration" -Roles MyBaseOptions, MyAddressInformation, MyDisplayName
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte New-RoleAssignmentPolicy.
Uso del Shell para crear una directiva de asignación predeterminada
Para crear una directiva de asignación predeterminada asignada a buzones nuevos, utilice la sintaxis siguiente.
New-RoleAssignmentPolicy <assignment policy name> -Roles <roles to assign> -IsDefault
En este ejemplo se crea la directiva de asignación predeterminada Configuración limitada del buzón y se le asignan los MyBaseOptions
roles , MyAddressInformation
y MyDisplayName
.
New-RoleAssignmentPolicy "Limited Mailbox Configuration" -Roles MyBaseOptions, MyAddressInformation, MyDisplayName -IsDefault
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte New-RoleAssignmentPolicy.
Quitar una directiva de asignación
Si ya no necesita la directiva de asignación de funciones de administración, puede quitarla.
¿Qué necesita saber antes de comenzar?
Todos los usuarios que tengan asignada la directiva de asignación deben cambiarse a otra directiva de asignación. Para obtener más información acerca de cambiar a una directiva de asignación en un buzón, consulte Cambiar la directiva de asignación en un buzón.
Es necesario quitar todas las asignaciones de roles de administración entre la directiva de asignación y los roles de administración asignados. Para obtener más información sobre cómo quitar una asignación de roles de una directiva de asignación, vea la sección Uso del shell para quitar un rol de una directiva de asignación más adelante en este tema.
Si desea quitar una directiva de asignación predeterminada, debe ser la última directiva de asignación de la organización de Exchange 2013.
Uso del EAC para quitar una directiva de asignación
En el EAC, vaya a Permisos roles>de usuario.
Seleccione la directiva de asignación que desea quitar y, a continuación, haga clic en .
Uso del Shell para quitar una directiva de asignación
Para quitar una directiva de asignación, use la sintaxis siguiente.
Remove-RoleAssignmentPolicy <role assignment policy>
En este ejemplo se quita la directiva de asignación de usuarios temporales de Nueva York.
Remove-RoleAssignmentPolicy "New York Temporary Users"
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte Remove-RoleAssignmentPolicy.
Ver una lista de las directivas de asignación o detalles de la directiva de asignación
Puede ver las directivas de asignación de roles de administración de varias maneras, en función de la información que desee y de si usa el EAC o el Shell.
En el EAC, puede ver la lista de directivas de asignación y los roles asignados a estas directivas. En el Shell, puede visualizar todas las directivas de asignación de su organización, hacer una lista de los buzones de correo que tienen asignada una directiva específica y más.
Uso del EAC para ver una lista de directivas de asignación
En el EAC, vaya a Permisos roles>de usuario. Aquí se muestran todas las directivas de asignación de la organización.
Para ver los detalles de una directiva de asignación específica, seleccione la directiva de asignación que desea ver. Las descripciones y los roles asignados a la directiva de asignación se muestran en el panel de detalles.
Usar el Shell para ver una lista de las directivas de asignación
Puede ver una lista de todas las directivas de asignación de la organización sin especificar directivas de asignación cuando ejecute el cmdlet Get-RoleAssignmentPolicy.
Este procedimiento hace uso de la canalización y el cmdlet Format-Table. Para obtener más información acerca de estos conceptos, consulte los siguientes temas:
Use el siguiente comando para devolver una lista de todas las directivas de asignación en la organización.
Get-RoleAssignmentPolicy
Para devolver una lista de propiedades específicas para todas las directivas de asignación en la organización, puede canalizar los resultados al cmdlet Format-Table y especificar las propiedades que desee incluir en la lista de resultados. Use la siguiente sintaxis.
Get-RoleAssignmentPolicy | Format-Table <property 1>, <property 2...>
En este ejemplo, se devuelve una lista de todas las directivas de asignación en la organización y se incluyen las propiedades Name y IsDefault.
Get-RoleAssignmentPolicy | Format-Table Name, IsDefault
Para obtener más información acerca de la sintaxis y los parámetros, consulte Get-Mailbox o Get-RoleAssignmentPolicy.
Usar el Shell para ver los detalles de una directiva de asignación única
Puede ver los detalles de una directiva de asignación específica utilizando el cmdlet Get-RoleAssignmentPolicy y canalizando el resultado al cmdlet Format-List.
Este procedimiento hace uso de la canalización y el cmdlet Format-List. Para obtener más información acerca de estos conceptos, consulte los siguientes temas:
Para ver los detalles de una directiva de asignación específica, use la sintaxis siguiente.
Get-RoleAssignmentPolicy <assignment policy name> | Format-List
En este ejemplo, se ven los detalles sobre los usuarios de Redmond (sin directivas de asignación de mensajería de texto).
Get-RoleAssignmentPolicy "Redmond Users - no Text Messaging" | Format-List
Para obtener más información acerca de la sintaxis y los parámetros, consulte Get-Mailbox o Get-RoleAssignmentPolicy.
Usar el Shell para encontrar la directiva de asignación predeterminada
Puede encontrar la directiva de asignación predeterminada canalizando el resultado del cmdlet Get-RoleAssignmentPolicy al cmdlet Where. Con el cmdlet Where , filtre los datos devueltos para mostrar solo la directiva de asignación que tiene su propiedad IsDefault establecida en $True
.
Este procedimiento hace uso de la canalización y del cmdlet Where. Para obtener más información acerca de estos conceptos, consulte los siguientes temas:
En este ejemplo se devuelve la directiva de asignación predeterminada.
Get-RoleAssignmentPolicy | Where {Get-RoleAssignmentPolicy | Where {$_.IsDefault -eq $True}.IsDefault -eq $True }
Para obtener más información acerca de la sintaxis y los parámetros, consulte Get-Mailbox o Get-RoleAssignmentPolicy.
Usar el Shell para ver los buzones que tienen asignada una directiva específica
Puede encontrar todos los buzones de correo asignados a una directiva de asignación específica canalizando el resultado del cmdlet Get-Mailbox al cmdlet Where. Con el cmdlet Where , filtre los datos devueltos para mostrar solo los buzones que tienen su propiedad RoleAssignmentPolicy establecida en el nombre de la directiva de asignación que especifique.
Este procedimiento hace uso de la canalización y del cmdlet Where. Para obtener más información acerca de estos conceptos, consulte los siguientes temas:
Use la siguiente sintaxis.
Get-Mailbox | Where {Get-Mailbox | Where {$_.RoleAssignmentPolicy -Eq "<role assignment policy>"}.RoleAssignmentPolicy -Eq "<role assignment policy>" }
En este ejemplo, se muestran todos los buzones que tienen asignada la directiva de usuarios finales de Vancouver.
Get-Mailbox | Where {Get-Mailbox | Where {$_.RoleAssignmentPolicy -Eq "Vancouver End Users"}.RoleAssignmentPolicy -Eq "Vancouver End Users" }
Para obtener más información acerca de la sintaxis y los parámetros, consulte Get-Mailbox o Get-RoleAssignmentPolicy.
Cambiar la directiva de asignación predeterminada
Puede cambiar la directiva de asignación de funciones de administración asignada a los buzones de correo que se crean. Al cambiar la directiva de asignación de roles predeterminada, no se cambia la directiva de asignación de los buzones de correo existentes. Para cambiar la directiva de asignación de los buzones de correo existentes, consulte Cambiar la directiva de asignación en un buzón.
Nota:
No puede usar el EAC para cambiar la directiva de asignación predeterminada. Debe usar el Shell.
Uso del Shell para cambiar la directiva de asignación predeterminada
Para cambiar la directiva de asignación predeterminada, utilice la sintaxis siguiente.
Set-RoleAssignmentPolicy <assignment policy name> -IsDefault
En este ejemplo, Vancouver End Users se establece como directiva de asignación predeterminada.
Set-RoleAssignmentPolicy "Vancouver End Users" -IsDefault
Importante
Se asignan nuevos buzones a la directiva de asignación predeterminada, aunque esta no tenga roles de administración asignados. Las directivas de asignación asignadas a buzones sin roles de administración asignados no pueden acceder a ninguna característica de configuración de buzón en Microsoft Outlook Web App.
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte Set-RoleAssignmentPolicy.
Agregar un rol a una directiva de asignación
Uso del EAC para agregar un rol a una directiva de asignación
En el EAC, vaya a Permisos roles>de usuario.
Seleccione la directiva de asignación a la que desea agregar uno o varios roles y, a continuación, haga clic en .
Active la casilla que hay junto al rol o los roles que desea añadir a la directiva de asignación. Puede seleccionar varios roles, incluyendo los roles de usuario final que ha agregado. Si selecciona un rol con roles subordinados, estos se seleccionan automáticamente.
Haga clic en Guardar para guardar los cambios realizados en la directiva de asignación.
Usar en Shell para agregar una función a una directiva de asignación
Para crear una asignación de funciones de administración entre una función y una directiva de asignaciones, use la sintaxis siguiente.
New-ManagementRoleAssignment -Name <role assignment name> -Role <role name> -Policy <assignment policy name>
En este ejemplo, se crea la asignación de funciones usuarios de Seattle_correo de voz entre la función MyVoicemail y la directiva de asignación usuarios de Seattle.
New-ManagementRoleAssignment -Name "Seattle Users - Voicemail" -Role MyVoicemail -Policy "Seattle Users"
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte New-ManagementRoleAssignment.
Quitar un rol de una directiva de asignación
Si no desea que los usuarios finales tengan permiso para administrar determinadas características del buzón de correo o grupo de distribución, puede quitar el rol de administración que concede los permisos de la directiva de asignación de roles de administración a la que está asignado el usuario. Si otros usuarios tienen asignada la misma directiva de asignación, también perderán la capacidad de administrar esa función.
Uso del EAC para quitar un rol de una directiva de asignación
En el EAC, vaya a Permisos roles>de usuario.
Seleccione la directiva de asignación de la que desea quitar uno o varios roles y, a continuación, haga clic en .
Desactive la casilla situada junto al rol o los roles que desea quitar de la directiva de asignación. Si desactiva la casilla de un rol con roles secundarios, las casillas de los roles secundarios también se desactivarán.
Haga clic en Guardar para guardar los cambios en la directiva de asignación.
Utilice el Shell para quitar una función de una directiva de asignación
Puede quitar funciones de las políticas de asignación recuperando la asignación de roles de administración asociada con el cmdlet Get-ManagementRoleAssignment y, a continuación, canalizando la asignación de roles devuelta al cmdlet Remove-ManagementRoleAssignment.
Para obtener más información acerca de las asignaciones de funciones normales o de delegación, consulte Descripción de las asignaciones de funciones de administración.
Este procedimiento utiliza la canalización. Para obtener más información sobre la canalización, consulte about_Pipelines.
Para quitar un rol de una directiva de asignación, use la sintaxis siguiente.
Get-ManagementRoleAssignment -RoleAssignee <assignment policy name> -Role <role name> | Remove-ManagementRoleAssignment
En este ejemplo se quita el rol de administración MyVoicemail que permite a los usuarios administrar las opciones de correo de voz desde la directiva de asignación Usuarios de Seattle.
Get-ManagementRoleAssignment -RoleAssignee "Seattle Users" -Role MyVoicemail | Remove-ManagementRoleAssignment
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte Remove-ManagementRoleAssignment.