Adicionar uma Função a um Usuário ou USG
Aplica-se a: Exchange Server 2010
Tópico modificado em: 2009-09-21
As atribuições de função de gerenciamento podem atribuir uma função de gerenciamento para um usuário ou grupo de segurança universal (USG). Atribuindo uma função para um usuário ou USG, você habilita aqueles usuários para executar tarefas dependentes de cmdlets ou scripts e seus parâmetros definidos na função de gerenciamento.
Enquanto é possível atribuir funções diretamente a usuários e USGs, o método recomendado de conceder permissões a administradores e usuários finais é usar grupos de função de gerenciamento e diretivas de atribuição de função de gerenciamento. Quando você usa grupos de função e diretivas de atribuição, você simplifica enormemente seu modelo de permissão.
Se você deseja atribuir funções a um grupo de função de gerenciamento ou uma diretiva de atribuição de função de gerenciamento, veja os tópicos a seguir:
Se você deseja adicionar membros a um grupo de função ou atribuir uma diretiva de atribuição de função a um usuário final, veja os tópicos a seguir:
Para obter mais informações, consulte Noções Básicas Sobre Controle de Acesso Baseado em Função.
Dica
As atribuições de função são cumulativas. Isso significa que todas as funções são adicionadas juntas quando forem avaliadas. Se duas funções forem atribuídas a um usuário e uma função contiver um cmdlet, mas outro não, o cmdlet ainda estará disponível para o usuário.
Por padrão, as atribuições de função não concedem a capacidade de atribuir funções para outros usuários. Para habilitar que um usuário atribua funções a outros usuários ou USGs, consulte Atribuições de Função de Representação.
Você deve usar o Shell de gerenciamento do Exchange para adicionar uma atribuição de função.
O que você deseja fazer?
- Criar uma atribuição de função com nenhum escopo
- Criar uma atribuição de função com um escopo relativo predefinido
- Criar uma atribuição de função com um escopo baseado em filtro do destinatário
- Criar uma atribuição de função com um filtro do servidor ou escopo de configuração baseado em lista
- Criar uma atribuição de função com um escopo do OU
- Criar uma atribuição de função com um escopo de configuração ou destinatário exclusivo
Se você criar uma nova atribuição com um escopo, o escopo substitui o escopo de gravação implícito da função. Entretanto, o escopo de leitura implícito da função ainda se aplica. O novo escopo não pode retornar objetos fora do escopo de leitura implícito da função. Para obter mais informações, consulte Noções Básicas Sobre Escopos da Função de Gerenciamento.
Todos os procedimentos neste tópico usam o parâmetro SecurityGroup para atribuir funções de atribuição para um USG. Se, em vez disso, você deseja atribuir a função para um usuário específico, use o parâmetro User em vez do parâmetro SecurityGroup. Todas as outras sintaxes para cada comando são as mesmas.
Criar uma atribuição de função com nenhum escopo
Para executar este procedimento, você precisa de permissões. Para ver de que permissões você precisa, consulte o Entrada "Atribuições de função" no tópico Função de Gerenciamento de Permissões.
Você pode criar uma atribuição de função com nenhum escopo. Ao fazer isso, os escopos de leitura e gravação implícitos da função se aplicam.
Use a sintaxe a seguir para atribuir uma função para um USG sem qualquer escopo:
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name>
Por exemplo, para atribuir a função "Servidores Exchange" para o SeattleAdmins USG, execute o comando a seguir:
New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers"
Criar uma atribuição de função com um escopo relativo predefinido
Para executar este procedimento, você precisa de permissões. Para ver de que permissões você precisa, consulte o Entrada "Atribuições de função" no tópico Função de Gerenciamento de Permissões.
Se um escopo relativo pré-definido atender seus requisitos comerciais, você pode aplicar esse escopo à atribuição de função em vez de criar um escopo personalizado. Para obter uma lista de escopos pré-definidos e suas descrições, consulte Noções Básicas Sobre Escopos da Função de Gerenciamento.
Use a sintaxe a seguir para atribuir uma função para um USG sem qualquer escopo pré-definido:
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -RecipientRelativeWriteScope < MyDistributionGroups | Organization | Self >
Por exemplo, para atribuir a função "Servidores Exchange" para o SeattleAdmins USG, e aplique o escopo pré-definido Organization
, use o comando a seguir:
New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers" -RecipientRelativeWriteScope Organization
Criar uma atribuição de função com um escopo baseado em filtro do destinatário
Para executar este procedimento, você precisa de permissões. Para ver de que permissões você precisa, consulte o Entrada "Atribuições de função" no tópico Função de Gerenciamento de Permissões.
Se você criar um escopo baseado de filtro de remetente e desejar usá-lo com uma atribuição de função, você precisa incluir o escopo no comando usado para atribuir a função a um USG usando o parâmetro CustomRecipientWriteScope. Se você usar o parâmetro CustomRecipientWriteScope, não será possível usar o parâmetro RecipientOrganizationalUnitScope.
Para adicionar um escopo a uma atribuição de função, é preciso criar um. Para obter mais informações, consulte Criar um Escopo Normal ou Exclusivo.
Use a sintaxe a seguir para atribuir uma função para um USG sem qualquer escopo baseado em filtro de destinatário:
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -CustomRecipientWriteScope <role scope name>
Por exemplo, para atribuir a função "Email de Destinatários" para o "Seattle Recipient Admins" USG e aplicar o escopo "Seattle Recipients", execute o comando a seguir:
New-ManagementRoleAssignment -Name "Mail Recipients_Seattle Recipient Admins" -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -CustomRecipientWriteScope "Seattle Recipients"
Criar uma atribuição de função com um filtro do servidor ou escopo de configuração baseado em lista
Para executar este procedimento, você precisa de permissões. Para ver de que permissões você precisa, consulte o Entrada "Atribuições de função" no tópico Função de Gerenciamento de Permissões.
Se você criar um filtro de servidor ou escopo de configuração baseado em lista e desejar usá-lo com uma atribuição de função, você precisa incluir o escopo no comando usado para atribuir a função a um USG usando o parâmetro CustomConfigWriteScope.
Para adicionar um escopo a uma atribuição de função, é preciso criar um. Para obter mais informações, consulte Criar um Escopo Normal ou Exclusivo.
Use a sintaxe a seguir para atribuir uma função para um USG sem qualquer escopo de configuração.
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -CustomConfigWriteScope <role scope name>
Por exemplo, para atribuir a função "Servidores Exchange" para o SeattleAdmins USG, e aplicar o escopo "Servidores de Email", use o comando a seguir:
New-ManagementRoleAssignment -Name "Exchange Servers_MailboxAdmins" -SecurityGroup MailboxAdmins -Role "Exchange Servers" -CustomConfigWriteScope "Mailbox Servers"
Criar uma atribuição de função com um escopo do OU
Para executar este procedimento, você precisa de permissões. Para ver de que permissões você precisa, consulte o Entrada "Atribuições de função" no tópico Função de Gerenciamento de Permissões.
Se você deseja estender o escopo de gravação de uma função para uma unidade da organização (OU), você pode especificar o OU no parâmetro RecipientOrganizationalUnitScope diretamente. Se você usar o parâmetro RecipientOrganizationalUnitScope, não será possível usar o parâmetro CustomRecipientWriteScope.
Use o comando a seguir para atribuir uma função para um USG e restringir o escopo de gravação de uma função para um OU específico:
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -RecipientOrganizationalUnitScope <OU>
Por exemplo, para atribuir a função "Email Destinatários" para SalesRecipientAdmins USG e o escopo da atribuição para a Sales\Users OU no domínio contoso.com, use o comando a seguir:
New-ManagementRoleAssignment -Name "Mail Recipients_SalesRecipientAdmins" -SecurityGroup SalesRecipientAdmins -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users
Criar uma atribuição de função com um escopo de configuração ou destinatário exclusivo
Para executar este procedimento, você precisa de permissões. Para ver de que permissões você precisa, consulte o Entrada "Atribuições de função" no tópico Função de Gerenciamento de Permissões.
Para criar uma atribuição de função exclusiva com um destinatário exclusivo ou escopo de configuração, os mesmos procedimentos fornecidos nas seções Criar uma atribuição de função com um escopo baseado em filtro do destinatário e Criar uma atribuição de função com um filtro do servidor ou escopo de configuração baseado em lista podem ser usadas. A única diferença é que quando você cria uma atribuição de função com um escopo exclusivo, você deve especificar os seguintes parâmetros exclusivos dependendo de se você está usando um escopo de destinatário exclusivo ou um escopo de configuração exclusivo:
- Escopos de destinatário exclusivos Use o parâmetro ExclusiveRecipientWriteScope em vez do parâmetro CustomRecipientWriteScope.
- Escopos de configuração exclusivos Use o parâmetro ExclusiveConfigWriteScope em vez do parâmetro CustomConfigWriteScope.
Ao executar este procedimento, os destinatários de função aos quais foi atribuída a função podem desempenhar ações contra os objetos incluídos no escopo exclusivo. Para mais informações sobre escopos exclusivos, consulte Entendendo os Escopos Exclusivos.
Você não pode criar uma atribuição de função com escopos exclusivos e regulares.
Por exemplo, para atribuir a função "Email de Destinatários" para o "Protected User Admins" USG e aplicar o escopo exclusivo "Usuários Protegidos", use o comando a seguir:
New-ManagementRoleAssignment -Name "Mail Recipients_Protected User Admins" -SecurityGroup "Protected User Admins" -Role "Mail Recipients" -ExclusiveRecipientWriteScope "Protected Users"