Adicionar uma Função a um Usuário ou USG
Aplica-se a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Tópico modificado em: 2012-07-23
As atribuições de função de gerenciamento podem atribuir uma função de gerenciamento para um usuário ou grupo de segurança universal (USG). Atribuindo uma função para um usuário ou USG, você habilita aqueles usuários para executar tarefas dependentes de cmdlets ou scripts e seus parâmetros definidos na função de gerenciamento.
Embora seja possível atribuir funções diretamente a usuários e USGs, o método recomendado para conceder permissões a administradores e usuários finais é usar grupos de função de gerenciamento e diretivas de atribuição de função de gerenciamento. O uso de grupos de função e diretivas de atribuição simplifica o seu modelo de permissões.
Se você deseja atribuir funções a um grupo de função de gerenciamento ou uma diretiva de atribuição de função de gerenciamento, veja os tópicos a seguir:
Se você deseja adicionar membros a um grupo de função ou atribuir uma diretiva de atribuição de função a um usuário final, veja os tópicos a seguir:
Para obter mais informações, consulte Noções Básicas Sobre Controle de Acesso Baseado em Função.
Dica
As atribuições de função são cumulativas. Isso significa que todas as funções são adicionadas juntas quando forem avaliadas. Se duas funções forem atribuídas a um usuário e uma função contiver um cmdlet enquanto a outra não, o cmdlet ainda assim está disponível para o usuário.
Por padrão, as atribuições de função não concedem a capacidade de atribuir funções para outros usuários. Para habilitar que um usuário atribua funções a outros usuários ou USGs, consulte Atribuições de Função de Representação.
É preciso usar o Shell para adicionar uma atribuição de função.
Se você criar uma atribuição com um escopo, o escopo substituirá o escopo de gravação implícito da função. Entretanto, o escopo de leitura implícito da função ainda se aplica. O novo escopo não pode retornar objetos fora do escopo de leitura implícito da função. Para obter mais informações, consulte Noções Básicas Sobre Escopos da Função de Gerenciamento.
Todos os procedimentos neste tópico usam o parâmetro SecurityGroup para atribuir funções de atribuição para um USG. Se quiser atribuir a função a um usuário específico, use o parâmetro User em vez do parâmetro SecurityGroup. Todas as outras sintaxes para cada comando são as mesmas.
Procurando outras tarefas de gerenciamento relacionadas a funções? Consulte Gerenciando Permissões Avançadas.
Criar uma atribuição de função com nenhum escopo
Para executar este procedimento, você precisa de permissões. Para ver de que permissões você precisa, consulte o Entrada "Atribuições de função" no tópico Função de Gerenciamento de Permissões.
Dica
Você não pode usar o EMC para criar uma atribuição de função sem escopo.
Você pode criar uma atribuição de função com nenhum escopo. Ao fazer isso, os escopos de leitura e gravação implícitos da função se aplicam.
Use a sintaxe a seguir para atribuir uma função a um USG sem qualquer escopo:
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name>
Este exemplo atribui a função Exchange Servers ao USG SeattleAdmins.
New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers"
Para obter informações detalhadas de sintaxes e de parâmetros, consulte New-ManagementRoleAssignment.
Criar uma atribuição de função com um escopo relativo predefinido.
Para executar este procedimento, você precisa de permissões. Para ver de que permissões você precisa, consulte o Entrada "Atribuições de função" no tópico Função de Gerenciamento de Permissões.
Dica
Não é possível usar o EMC para criar uma atribuição de função com um escopo relativo predefinido.
Se um escopo relativo predefinido atender os seus requisitos comerciais, você poderá aplicar esse escopo à atribuição de função em vez de criar um escopo personalizado. Para uma lista de escopos predefinidos e suas descrições, consulte Noções Básicas Sobre Escopos da Função de Gerenciamento.
Use a sintaxe a seguir para atribuir uma função a um USG com um escopo predefinido.
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -RecipientRelativeWriteScope < MyDistributionGroups | Organization | Self >
Este exemplo atribui a função Exchange Servers ao USG SeattleAdmins e aplica o escopo predefinido Organization.
New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers" -RecipientRelativeWriteScope Organization
Para informações detalhadas de sintaxes e de parâmetros, consulte New-ManagementRoleAssignment.
Criar uma atribuição de função com um escopo baseado em filtro do destinatário
Para executar este procedimento, você precisa de permissões. Para ver de que permissões você precisa, consulte o Entrada "Atribuições de função" no tópico Função de Gerenciamento de Permissões.
Dica
Você não pode usar o EMC para criar uma atribuição de função com um escopo de destinatário baseado em filtro.
Se você criar um escopo de destinatário baseado em filtro e quiser usá-lo com uma atribuição de função, terá que incluir o escopo no comando usado para atribuir a função a um USG usando o parâmetro CustomRecipientWriteScope. Se o parâmetro CustomRecipientWriteScope for utilizado, não é possível usar o parâmetro RecipientOrganizationalUnitScope.
Para adicionar um escopo a uma atribuição de função, é preciso criar um. Para obter mais informações, consulte Criar um Escopo Normal ou Exclusivo.
Use a sintaxe a seguir para atribuir uma função a um USG com um escopo de destinatário baseado em filtro.
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -CustomRecipientWriteScope <role scope name>
Este exemplo atribui a função Mail Recipients ao USG Seattle Recipient Admins e aplica o escopo Seattle Recipients.
New-ManagementRoleAssignment -Name "Mail Recipients_Seattle Recipient Admins" -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -CustomRecipientWriteScope "Seattle Recipients"
Para informações detalhadas de sintaxes e de parâmetros, consulte New-ManagementRoleAssignment.
Criar uma atribuição de função com um filtro de servidor ou de banco de dados ou um escopo de configuração baseado em lista
Para executar este procedimento, você precisa de permissões. Para ver de que permissões você precisa, consulte o Entrada "Atribuições de função" no tópico Função de Gerenciamento de Permissões.
Dica
Não é possível usar o EMC para criar uma atribuição de função com um filtro de servidor ou de banco de dados ou um escopo de configuração baseado em lista.
Se você criar um filtro de servidor ou de banco de dados ou um escopo de configuração baseado em lista e quiser usá-lo com uma atribuição de função, terá que incluir o escopo no comando usado para atribuir a função a um USG usando o parâmetro CustomConfigWriteScope.
Para adicionar um escopo a uma atribuição de função, é preciso criar um. Para obter mais informações, consulte Criar um Escopo Normal ou Exclusivo.
Use a sintaxe a seguir para atribuir uma função a um USG com um escopo de configuração.
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -CustomConfigWriteScope <role scope name>
Este exemplo atribui a função Exchange Servers ao USG MailboxAdmins e aplica o escopo Mailbox Servers.
New-ManagementRoleAssignment -Name "Exchange Servers_MailboxAdmins" -SecurityGroup MailboxAdmins -Role "Exchange Servers" -CustomConfigWriteScope "Mailbox Servers"
O exemplo anterior mostrou como adicionar uma atribuição de função com um escopo de configuração de servidor. A sintaxe para adicionar um escopo de configuração de banco de dados é a mesma. Você especifica o nome de um escopo de banco de dados em vez de um escopo de servidor.
Para obter informações detalhadas de sintaxes e de parâmetros, consulte New-ManagementRoleAssignment.
Criar uma atribuição de função com um escopo do OU
Para executar este procedimento, você precisa de permissões. Para ver de que permissões você precisa, consulte o Entrada "Atribuições de função" no tópico Função de Gerenciamento de Permissões.
Dica
Não é possível usar o EMC para criar uma atribuição de função com um escopo de unidade organizacional (UO).
Se desejar criar um escopo de gravação de função para uma UO, você pode especificar a UO diretamente no parâmetro RecipientOrganizationalUnitScope. Se o parâmetro RecipientOrganizationalUnitScope for utilizado, não é possível usar o parâmetro CustomRecipientWriteScope.
Use a sintaxe a seguir para atribuir uma função a um USG e restringir o escopo de gravação de uma função a uma UO específica:
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -RecipientOrganizationalUnitScope <OU>
Este exemplo atribui a função Mail Recipients ao USG SalesRecipientAdmins usando como escopo da atribuição a UO de vendedores/usuários no domínio contoso.com.
New-ManagementRoleAssignment -Name "Mail Recipients_SalesRecipientAdmins" -SecurityGroup SalesRecipientAdmins -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users
Para informações detalhadas de sintaxes e de parâmetros, consulte New-ManagementRoleAssignment.
Criar uma atribuição de função com um escopo de configuração ou destinatário exclusivo
Para executar este procedimento, você precisa de permissões. Para ver de que permissões você precisa, consulte o Entrada "Atribuições de função" no tópico Função de Gerenciamento de Permissões.
Dica
Não é possível usar o EMC para criar uma atribuição de função com um escopo de destinatário ou configuração exclusivo.
Para criar uma atribuição de função exclusiva com um destinatário exclusivo ou escopo de configuração, os mesmos procedimentos fornecidos nas seções Create a role assignment with a recipient filter-based scope e Create a role assignment with a server or database filter or list-based configuration scope podem ser usados. A única diferença é que quando você cria uma atribuição de função com um escopo exclusivo, você deve especificar os seguintes parâmetros exclusivos dependendo de se você está usando um escopo de destinatário exclusivo ou um escopo de configuração exclusivo:
Escopos de destinatário exclusivos Use o parâmetro ExclusiveRecipientWriteScope em vez do parâmetro CustomRecipientWriteScope.
Escopos de configuração exclusivos Use o parâmetro ExclusiveConfigWriteScope em vez do parâmetro CustomConfigWriteScope.
Quando esse procedimento é executado, os destinatários aos quais foi atribuída a função podem executar ações contra os objetos incluídos no escopo exclusivo. Para mais informações sobre escopos exclusivos, consulte Entendendo os Escopos Exclusivos.
Você não pode criar uma atribuição de função com escopos exclusivos e regulares.
Este exemplo atribui a função Mail Recipients ao USG Protected User Admins e aplica o escopo exclusivo Protected Users.
New-ManagementRoleAssignment -Name "Mail Recipients_Protected User Admins" -SecurityGroup "Protected User Admins" -Role "Mail Recipients" -ExclusiveRecipientWriteScope "Protected Users"
Para obter informações detalhadas de sintaxes e de parâmetros, consulte New-ManagementRoleAssignment.
© 2010 Microsoft Corporation. Todos os direitos reservados.