Condividi tramite


Creazione di un ambito normale o esclusivo

Si applica a: Exchange Server 2013

Gli ambiti del ruolo di gestione consentono di determinare gli oggetti disponibili, in modo che l'utente possa modificarli utilizzando i cmdlet e i parametri relativi. Aggiungendo un ambito di gestione, è possibile configurare le assegnazioni dei ruoli di gestione, in modo che gli utenti possano amministrare specifici server, database, destinatari e altri oggetti nell'organizzazione pur rimanendo soggetti a restrizioni per la modifica di altri oggetti.

Importante

Quando si crea un ambito normale o esclusivo, viene sostituito l'ambito di scrittura definito nel ruolo di gestione che si sta assegnando. Non è possibile sostituire l'ambito di lettura configurato per il ruolo di gestione.

È possibile creare un ambito di gestione personalizzato e aggiungere o modificare un'assegnazione di ruolo di gestione. Se si desidera creare un'assegnazione del ruolo di gestione con un ambito di gestione definito in precedenza o relativo a un'unità organizzativa, vedere Aggiungere un ruolo di un utente o gruppo di protezione universale.

Per ulteriori informazioni sugli ambiti e le assegnazioni del ruolo di gestione in Microsoft Exchange Server 2013, vedere i seguenti argomenti:

Per altre attività di gestione relative agli ambiti, Vedere Autorizzazioni avanzate.

Che cosa è necessario sapere prima di iniziare?

Consiglio

Problemi? È possibile richiedere supporto nei forum di Exchange. Visitare i forum all'indirizzo Exchange Server.

Passaggio 1: Creazione di un ambito personalizzato

Per creare un ambito personalizzato, scegliere uno dei seguenti tipi di ambito.

Ambito del filtro destinatario

Gli ambiti basati sui filtri destinatari vengono creati utilizzando il parametro RecipientRestrictionFilter nel cmdlet New-ManagementScope. Quando si crea un filtro destinatario, è possibile specificare l'unità organizzativa in cui viene eseguita la query del filtro, oltre alle proprietà del destinatario da filtrare. Quando si specifica un'unità organizzativa di base, è possibile limitare ulteriormente l'ambito di scrittura del ruolo.

Per ulteriori informazioni sui filtri dell'ambito di gestione, vedere Informazioni sui filtri di ambito di gestione dei ruoli.

Utilizzare la seguente sintassi per creare un ambito con filtro di limitazione dei domini utilizzando un'unità organizzativa di base.

New-ManagementScope -Name <scope name> -RecipientRestrictionFilter <filter query> [-RecipientRoot <OU>]

Con questo esempio viene creato un ambito che include tutte le cassette postali nell'unità organizzativa contoso.com/Sales OU.

New-ManagementScope -Name "Mailboxes in Sales OU" -RecipientRestrictionFilter "RecipientType -eq 'UserMailbox'" -RecipientRoot "contoso.com/Sales OU"

Nota

È possibile omettere il parametro RecipientRoot se si vuole applicare il filtro all'intero ambito di lettura implicito del ruolo di gestione e non solo all'interno di un'unità organizzativa specifica.

Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-ManagementScope.

Ambito di configurazione del filtro server

Gli ambiti di configurazione basati sui filtri server vengono creati utilizzando il parametro ServerRestrictionFilter nel cmdlet New-ManagementScope. Un filtro server consente di creare un ambito che si applica unicamente ai server corrispondenti al filtro specificato.

Per ulteriori informazioni sui filtri dell'ambito di gestione e per un elenco delle proprietà filtrabili del server, vedere Informazioni sui filtri di ambito di gestione dei ruoli.

Utilizzare la sintassi seguente per creare un ambito del filtro server.

New-ManagementScope -Name <scope name> -ServerRestrictionFilter <filter query>

In questo esempio viene creato un ambito che include tutti i server all'interno del sito AD 'CN=Redmond,CN=Sites,CN=Configuration,DC=contoso,DC=com' (Active Directory).

New-ManagementScope -Name "Servers in Seattle AD site" -ServerRestrictionFilter "ServerSite -eq 'CN=Redmond,CN=Sites,CN=Configuration,DC=contoso,DC=com'"

Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-ManagementScope.

Ambito di configurazione dell'elenco di server

Gli ambiti di configurazione basati sugli elenchi di server vengono creati utilizzando il parametro ServerList nel cmdlet New-ManagementScope. Un ambito basato su un elenco di server consente di creare un ambito che si applica unicamente ai server specificati nell'elenco.

Utilizzare la sintassi seguente per creare un ambito basato su un elenco di server.

New-ManagementScope -Name <scope name> -ServerList <server 1>, <server 2...>

Con questo esempio viene creato un ambito applicato solo a MBX1, MBX3 e MBX5.

New-ManagementScope -Name "Mailbox servers" -ServerList MBX1,MBX3,MBX5

Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-ManagementScope.

Ambito di configurazione del filtro di database

Gli ambiti di configurazione basati sui filtri di database vengono creati utilizzando il parametro DatabaseRestrictionFilter nel cmdlet New-ManagementScope. Un filtro di database consente di creare un ambito che si applica unicamente ai database corrispondenti al filtro specificato.

Importante

Le assegnazioni di ruolo associate agli ambiti del database vengono applicate solo agli utenti che effettuano la connessione ai server con Microsoft Exchange Server 2010 Service Pack 1 (SP1) o versioni successive o Exchange 2013. Se un utente a cui è stata assegnata un'assegnazione di ruolo associata a un ambito di database si connette a un server pre-Exchange 2010 SP1, l'assegnazione di ruolo non viene applicata all'utente e all'utente non verranno concesse autorizzazioni fornite dall'assegnazione di ruolo.

Per ulteriori informazioni sui filtri dell'ambito di gestione e per ottenere un elenco delle proprietà filtrabili del database, vedere Informazioni sui filtri di ambito di gestione dei ruoli.

Utilizzare la sintassi seguente per creare un filtro delle restrizioni del database.

New-ManagementScope -Name <scope name> -DatabaseRestrictionFilter <filter query>

In questo esempio viene creato un ambito che include tutti i database contenenti la stringa "Executive" nella proprietà Name del database.

New-ManagementScope -Name "Executive Databases" -DatabaseRestrictionFilter "Name -Like '*Executive*'"

Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-ManagementScope.

Ambito di configurazione dell'elenco di database

Gli ambiti di configurazione basati su elenchi di database vengono creati utilizzando il parametro DatabaseList nel cmdlet New-ManagementScope. Un ambito basato su un elenco di database consente di creare un ambito che si applica unicamente ai database specificati nell'elenco.

Importante

Le assegnazioni di ruolo associate agli ambiti del database vengono applicate solo agli utenti che effettuano la connessione ai server con Microsoft Exchange Server 2010 Service Pack 1 (SP1) o versioni successive o Exchange 2013. Se un utente a cui è stata assegnata un'assegnazione di ruolo associata a un ambito di database si connette a un server pre-Exchange 2010 SP1, l'assegnazione di ruolo non viene applicata all'utente e all'utente non verranno concesse autorizzazioni fornite dall'assegnazione di ruolo.

Utilizzare la sintassi seguente per creare un ambito basato su un elenco di database.

New-ManagementScope -Name <scope name> -DatabaseList <database 1>, <database 2...>

In questo esempio viene creato un ambito che si applica unicamente ai database Database 1, Database 2 e Database 3.

New-ManagementScope -Name "Primary databases" -DatabaseList "Database 1", "Database 2", "Database 3"

Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-ManagementScope.

Ambito esclusivo

Qualsiasi ambito creato con il cmdlet New-ManagementScope può essere designato come ambito esclusivo. Per creare un ambito esclusivo, usare gli stessi comandi in una delle sezioni precedenti per creare un ambito basato su filtro del destinatario, un ambito basato su filtro server, un ambito basato su elenco di server, un ambito basato su filtro del database o un ambito basato su elenco di database e quindi aggiungere l'opzione Exclusive al comando.

Avviso

Quando si creano ambiti di gestione esclusivi, solo gli utenti assegnati ad ambiti esclusivi che contengono oggetti da modificare possono accedere a tali oggetti. Agli oggetti esclusivi, o protetti, possono accedere solo gli amministratori assegnati a un ruolo che dispone dell'ambito esclusivo.

Con questo esempio viene creato un ambito esclusivo basato su un filtro destinatari che corrisponde a qualsiasi utente appartenente al reparto Executives.

New-ManagementScope "Executive Users Exclusive Scope" -RecipientRestrictionFilter "Department -Eq 'Executives'" -Exclusive

Per impostazione predefinita, quando viene creato un ambito esclusivo è necessario confermarne la creazione ed essere consapevoli dell'impatto dell'ambito esclusivo sulle assegnazioni di ruolo non esclusive esistenti. Se si desidera eliminare l'avviso, è possibile utilizzare l'opzione Force. Con questo esempio viene creato lo stesso ambito dell'esempio precedente, ma senza visualizzare l'avviso.

New-ManagementScope "Executive Users Exclusive Scope" -RecipientRestrictionFilter "Department -Eq 'Executives'" -Exclusive -Force

Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-ManagementScope.

Passaggio 2: Aggiunta o modifica di un'assegnazione del ruolo di gestione

Dopo aver creato l'ambito è necessario aggiungerlo a un'assegnazione del ruolo di gestione nuova o esistente.

Se si crea un ambito di gestione e si desidera aggiungerlo a una nuova assegnazione del ruolo di gestione in fase di creazione, vedere i seguenti argomenti:

Se si crea un ambito del ruolo di gestione e si desidera aggiungerlo a un'assegnazione del ruolo di gestione esistente, vedere i seguenti argomenti: