Condividi tramite


Creazione di un gruppo di ruoli collegato

 

Si applica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Ultima modifica dell'argomento: 2012-07-23

Un gruppo legato al ruolo di gestione può essere utilizzato per abilitare i membri di un gruppo di protezione universale in foresta Active Directory esterna per gestire un'organizzazione Microsoft Exchange Server 2010 nella una foresta Active Directory risorsa. Associando un gruppo di protezione universale in una foresta esterna con un gruppo legato al ruolo, ai membri del gruppo di protezione universale sono concesse le autorizzazioni fornite dai ruoli di gestione assegnati al gruppo legato al ruolo. Per ulteriori informazioni sui gruppi di ruoli collegati, vedere Informazioni sui gruppi del ruolo di gestione.

Importante

Per aggiungere o rimuovere gli utenti ad un gruppo legato al ruolo, è necessario aggiungere o rimuovere i membri nel gruppo di protezione universale nella foresta Active Directory esterna. In altri termini, non è possibile utilizzare i cmdlet Add-RoleGroupMember, Remove-RoleGroupMember o Update-RoleGroupMember per modificare i membri di un gruppo legato al ruolo.

Per informazioni sulle altre attività di gestione relative agli amministratori e agli utenti finali, vedere Gestione dell'amministratore e degli utenti esperti.

Prerequisiti

  • Per configurare un gruppo legato al ruolo è necessario, come minimo, che vi sia un trust unidirezionale tra la foresta di risorse Active Directory in cui il gruppo sarà ubicato e la foresta Active Directory esterna a cui appartengono gli utenti o i gruppi di protezione universale. La foresta di risorse deve considerare attendibile la foresta esterna.

  • È necessario disporre delle seguenti informazioni sulla foresta esterna di Active Directory:

    • Credenziali   È necessario disporre di un nome utente e di una password per poter accedere alla foresta esterna di Active Directory. Queste informazioni vengono utilizzate con il parametro LinkedCredential sul cmdlet New-RoleGroup.

    • Controller di dominio   È necessario disporre del nome di dominio completo (FQDN) di un controller di dominio di Active Directory nella foresta esterna di Active Directory. Queste informazioni vengono utilizzate con il parametro LinkedDomainController sul cmdlet New-RoleGroup.

    • Gruppo di protezione universale esterno   È necessario disporre del nome completo di un gruppo di protezione universale nella foresta esterna di Active Directory che contiene i membri che si desidera associare al gruppo di ruoli collegato. Queste informazioni vengono utilizzate con il parametro LinkedForeignGroup sul cmdlet New-RoleGroup.

Utilizzo di Shell per creare un gruppo legato al ruolo senza ambito

È necessario disporre delle autorizzazioni prima di poter eseguire questa procedura. Per visualizzare quali autorizzazioni sono necessarie, vedere "Gruppi di ruolo" nell'argomento Autorizzazioni per la gestione del ruolo.

Nota

Non è possibile utilizzare EMC per creare un gruppo legato al ruolo senza ambito.

Per creare un gruppo legato al ruolo e assegnare ruoli di gestione per il gruppo legato al ruolo, fare quanto segue:

  1. Archiviare le credenziali della foresta esterna di Active Directory in una variabile.

    $ForeignCredential = Get-Credential
    
  2. Creare il gruppo di ruoli collegato utilizzando la sintassi seguente.

    New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -Roles <role1, role2, role3...>
    
  3. Aggiungere o rimuovere i membri dal gruppo di protezione universale esterno utilizzando Utenti e computer di Active Directory su un computer nella foresta esterna di Active Directory.

In questo esempio viene effettuato quanto segue:

  • Vengono recuperate le credenziali per la foresta esterna di Active Directory users.contoso.com. Queste credenziali vengono utilizzate per collegarsi al controller di dominio DC01.users.contoso.com nella foresta esterna.

  • Crea un gruppo legato al ruolo chiamato Gruppo di ruoli conformi nella foresta risorse in cui Exchange 2010 è installato.

  • Collega il nuovo gruppo di ruolo al gruppo di protezione universale degli amministratori conformi nella foresta Active Directory esterna di users.contoso.com.

  • Assegnare le Regole di trasporto e le regole per la gestione dell'inserimento del Journal al nuovo gruppo legato al ruolo.

$ForeignCredential = Get-Credential
New-RoleGroup "Compliance Role Group" -LinkedForeignGroup "Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles "Transport Rules", "Journaling"

Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-RoleGroup.

Utilizzo di Shell per creare un gruppo legato al ruolo con ambito di gestione personalizzato

È necessario disporre delle autorizzazioni prima di poter eseguire questa procedura. Per visualizzare quali autorizzazioni sono necessarie, vedere "Gruppi di ruolo" nell'argomento Autorizzazioni per la gestione del ruolo.

Nota

Non è possibile utilizzare EMC per creare un gruppo legato al ruolo con ambito di gestione personalizzato.

È possibile creare gruppi legati al ruolo con ambiti di gestione del destinatario personalizzato, ambiti di gestione di configurazione personalizzata o entrambi. Per creare un gruppo legato al ruolo e assegnare ad esso ruoli di gestione con ambiti personalizzati, fare quanto segue:

  1. Archiviare le credenziali della foresta esterna di Active Directory in una variabile.

    $ForeignCredential = Get-Credential
    
  2. Creare il gruppo di ruoli collegato utilizzando la sintassi seguente.

    New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -CustomConfigWriteScope <name of configuration scope> -CustomRecipientWriteScope <name of recipient scope> -LinkedCredential $ForeignCredential -Roles <role1, role2, role3...>
    
  3. Aggiungere o rimuovere i membri dal gruppo di protezione universale esterno utilizzando Utenti e computer di Active Directory su un computer nella foresta esterna di Active Directory.

In questo esempio viene effettuato quanto segue:

  • Vengono recuperate le credenziali per la foresta esterna di Active Directory users.contoso.com. Queste credenziali vengono utilizzate per collegarsi al controller di dominio DC01.users.contoso.com nella foresta esterna.

  • Crea un gruppo legato al ruolo chiamato Gruppo di ruoli conformi di Seattle nella foresta risorse in cui Exchange 2010 è installato.

  • Collega il nuovo gruppo di ruolo al gruppo di protezione universale degli amministratori conformi di Seattle nella foresta Active Directory esterna di users.contoso.com.

  • Assegnare le Regole di trasporto e le regole per la gestione dell'inserimento del Journal al nuovo gruppo legato al ruolo con ambiti di gestione dei destinatari personalizzati di Seattle.

$ForeignCredential = Get-Credential
New-RoleGroup "Seattle Compliance Role Group" -LinkedForeignGroup "Seattle Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -CustomRecipientWriteScope "Seattle Recipients" -Roles "Transport Rules", "Journaling"

Per ulteriori informazioni sugli ambiti di gestione, vedere Informazioni sugli ambiti del ruolo di gestione.

Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-RoleGroup.

Utilizzo di Shell per creare un gruppo legato al ruolo con ambito di unità organizzativa

È necessario disporre delle autorizzazioni prima di poter eseguire questa procedura. Per visualizzare quali autorizzazioni sono necessarie, vedere "Gruppi di ruolo" nell'argomento Autorizzazioni per la gestione del ruolo.

Nota

Non è possibile utilizzare EMC per creare un gruppo legato al ruolo con ambito di unità organizzativa.

È possibile creare gruppi legati al ruolo che utilizzano un ambito destinatario dell'unità organizzativa. Per creare un gruppo legato al ruolo e assegnare ad esso ruoli di gestione con ambito di unità organizzativa, fare quanto segue:

  1. Archiviare le credenziali della foresta esterna di Active Directory in una variabile.

    $ForeignCredential = Get-Credential
    
  2. Creare il gruppo di ruoli collegato utilizzando la sintassi seguente.

    New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -RecipientOrganizationalUnitScope <OU name> -Roles <role1, role2, role3...>
    
  3. Aggiungere o rimuovere i membri dal gruppo di protezione universale esterno utilizzando Utenti e computer di Active Directory su un computer nella foresta esterna di Active Directory.

In questo esempio viene effettuato quanto segue:

  • Vengono recuperate le credenziali per la foresta esterna di Active Directory users.contoso.com. Queste credenziali vengono utilizzate per collegarsi al controller di dominio DC01.users.contoso.com nella foresta esterna.

  • Crea un gruppo legato al ruolo chiamato Gruppo di ruoli conformi Executives nella foresta risorse in cui Exchange 2010 è installato.

  • Collega il nuovo gruppo di ruolo al gruppo di protezione universale degli amministratori conformi Executives nella foresta Active Directory esterna di users.contoso.com.

  • Assegnare le Regole di trasporto e le regole per la gestione dell'inserimento del Journal al nuovo gruppo legato al ruolo con ambito destinatario dell'unità organizzativa Executives.

$ForeignCredential = Get-Credential
New-RoleGroup "Executives Compliance Role Group" -LinkedForeignGroup "Executives Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -RecipientOrganizationalUnitScope "Executives OU" -Roles "Transport Rules", "Journaling"

Per ulteriori informazioni sugli ambiti di gestione, vedere Informazioni sugli ambiti del ruolo di gestione.

Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-RoleGroup.

Altre attività

Una volta creato il gruppo legato al ruolo, è possibile anche effettuare le seguenti operazioni:

 ©2010 Microsoft Corporation. Tutti i diritti riservati.