Создание регулярной или монопольной области

 

Применимо к: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Последнее изменение раздела: 2012-07-23

В областях ролей управления определяется, к каким объектам открывается доступ для пользователя, чтобы их можно было изменять с помощью назначенных для них командлетов и параметров. Добавляя область управления, можно настроить назначения ролей управления, чтобы пользователи могли управлять конкретными серверами, базами данных, получателями и другими объектами в организации, одновременно запрещая им изменять другие объекты.

Важно!
При создании регулярной или монопольной области переопределяется область записи, определенная для назначаемой роли управления. Область чтения, настроенную для роли управления, переопределить нельзя.

Можно создать настраиваемую область управления и добавить или изменить назначение ролей управления. Если требуется создать назначение роли управления с заранее созданной областью управления или областью управления подразделения, см. раздел Добавление роли для пользователя или универсальной группы безопасности.

Дополнительные сведения об областях и назначениях ролей управления в Microsoft Exchange Server 2010 см. в следующих разделах:

• Общие сведения об областях применения ролей управления

• Общие сведения о назначениях ролей управления

Необходимы сведения о других задачах управления, связанных с областями? См. раздел Управление расширенными разрешениями.

Шаг 1. Создание настраиваемой области

Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Роли управления» в разделе Разрешения управления ролями.

Примечание.
Для создания настраиваемой области нельзя использовать консоль управления EMC.

Чтобы создать настраиваемую область, выберите один из следующих типов областей.

Область фильтра получателей

Области на основе фильтров получателей создаются с помощью параметра RecipientRestrictionFilter командлета New-ManagementScope. При создании фильтра получателей кроме добавления свойств получателей для фильтра можно также определить подразделение, в котором выполняется запрос фильтра. Задание базового подразделения ограничивает область записи для роли.

Дополнительные сведения о фильтрах областей управления см. в разделе Общие сведения о фильтрах областей ролей управления.

Чтобы создать область фильтра ограничения домена с базовым подразделением, используйте следующий синтаксис.

New-ManagementScope -Name <scope name> -RecipientRestrictionFilter <filter query> [-RecipientRoot <OU>]

В этом примере создается область, содержащая все почтовые ящики в подразделении contoso.com/Sales.

New-ManagementScope -Name "Mailboxes in Sales OU" -RecipientRestrictionFilter { RecipientType -eq 'UserMailbox' } -RecipientRoot "contoso.com/Sales OU"

Примечание.
Если нужно применить фильтр ко всей неявной области чтения роли управления, а не только внутри конкретного подразделения, можно опустить параметр RecipientRoot.

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementScope.

Область настройки фильтра сервера

Области конфигурации на основе фильтра серверов создаются с помощью параметра ServerRestrictionFilter командлета New-ManagementScope. Фильтр серверов позволяет создавать область, применяемую только к серверам, соответствующим заданному фильтру.

Дополнительные сведения о фильтрах области управления и список фильтруемых свойств сервера см. в разделе Общие сведения о фильтрах областей ролей управления.

Используйте следующий синтаксис для создания области фильтра серверов.

New-ManagementScope -Name <scope name> -ServerRestrictionFilter <filter query>

В этом примере создается область, содержащая все серверы на сайте Seattle AD (Служба каталогов Active Directory).

New-ManagementScope -Name "Servers in Seattle AD site" -ServerRestrictionFilter { ServerSite -eq 'Seattle' }

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementScope.

Область конфигурации списка серверов

Области конфигурации на основе списка серверов создаются с помощью параметра ServerList командлета New-ManagementScope. Область списка серверов позволяет создавать область, применяемую только к серверам, заданным в списке.

Используйте следующий синтаксис для создания области списка серверов.

New-ManagementScope -Name <scope name> -ServerList <server 1>, <server 2...>

В этом примере создается область, применяемая только к серверам MBX1, MBX3 и MBX5.

New-ManagementScope -Name "Mailbox servers" -ServerList MBX1,MBX3,MBX5

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementScope.

Область настройки фильтра базы данных

Области конфигурации на основе фильтра баз данных создаются с помощью параметра DatabaseRestrictionFilter командлета New-ManagementScope. Фильтр баз данных позволяет создавать область, применяемую только к базам данных, соответствующим заданному фильтру.

Важно!

Назначения ролей, связанные с областями баз данных, применяются только к пользователям, которые подключаются к серверам под управлением Microsoft Exchange Server 2010 с пакетом обновления 1 (SP1). Если пользователь с назначением ролей, связанным с областью базы данных, подключается к окончательной первоначальной версии (RTM) Exchange 2010, то назначение роли не применяется к пользователю и ему не будут предоставлены разрешения данного назначения.

Дополнительные сведения о фильтрах области управления и список фильтруемых свойств базы данных см. в разделе Общие сведения о фильтрах областей ролей управления.

Используйте следующий синтаксис для создания фильтра ограничений баз данных.

New-ManagementScope -Name <scope name> -DatabaseRestrictionFilter <filter query>

В этом примере создается область, включающая в себя все базы данных, содержащие строку Executive в свойстве Name.

New-ManagementScope -Name "Executive Databases" -DatabaseRestrictionFilter { Name -Like '*Executive*' }

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementScope.

Область настройки списка баз данных

Области конфигурации на основе списка баз данных создаются с помощью параметра DatabaseList командлета New-ManagementScope. Область списка баз данных позволяет создавать область, применяемую только к базам данных, заданным в списке.

Важно!

Назначения ролей, связанные с областями баз данных, применяются только к пользователям, которые подключаются к серверам под управлением Microsoft Exchange Server 2010 с пакетом обновления 1 (SP1). Если пользователь с назначением ролей, связанным с областью базы данных, подключается к окончательной первоначальной версии (RTM) Exchange 2010, то назначение роли не применяется к пользователю и ему не будут предоставлены разрешения данного назначения.

Используйте следующий синтаксис для создания области списка баз данных.

New-ManagementScope -Name <scope name> -DatabaseList <database 1>, <database 2...>

В этом примере создается область, которая применяется только к базам данных Database 1, Database 2 и Database 3.

New-ManagementScope -Name "Primary databases" -DatabaseList "Database 1", "Database 2", "Database 3"

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementScope.

Монопольная область

Любую область, созданную с помощью командлета New-ManagementScope, можно сделать монопольной областью. Для создания монопольной области используются те же команды, которые используются в предыдущих разделах для создания области на основе фильтра получателей, фильтра серверов или списка серверов, соответственно. После этого к команде добавляется переключатель Exclusive.

Внимание!
При создании монопольных областей управления только те пользователи, кому назначены роли с назначенными монопольными областями, содержащими изменяемые объекты, могут получить доступ к этим объектам. Только администраторы, которым назначена роль с монопольной областью, могут получать доступ к этим исключительным (или защищенным) объектам.

В этом примере создается монопольная область на основе фильтра получателей, соответствующая любому пользователю из отдела Executives.

New-ManagementScope "Executive Users Exclusive Scope" -RecipientRestrictionFilter { Department -Eq "Executives" } -Exclusive

При создании монопольной области необходимо по умолчанию подтвердить создание монопольной области и осведомленность о влиянии монопольной области на существующие назначения неисключительных ролей. Если требуется отключить предупреждения, можно использовать переключатель Force. В этом примере создается та же область, что и в предыдущем примере, но без предупреждения.

New-ManagementScope "Executive Users Exclusive Scope" -RecipientRestrictionFilter { Department -Eq "Executives" } -Exclusive -Force

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementScope.

Шаг 2. Добавление или изменение назначения роли управления

Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Назначения ролей» в разделе Разрешения управления ролями.

Примечание.
Добавить или изменить назначение роли управления с помощью консоли управления Exchange невозможно.

Созданную область необходимо добавить в новое или существующее назначение роли управления.

Если созданную область управления требуется добавить в создаваемое назначение роли управления, обратитесь к следующим разделам:

• Добавление роли в группу ролей

• Добавление роли для пользователя или универсальной группы безопасности

Если созданную область ролей управления требуется добавить в существующее назначение роли управления, см. следующие разделы:

• Изменение области назначений ролей в группе ролей

• Изменение назначения роли

 © Корпорация Майкрософт (Microsoft Corporation), 2010. Все права защищены.