Создание роли с незаданной областью
Применимо к: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Последнее изменение раздела: 2011-03-19
Роль управления с незаданной областью можно использовать для предоставления администраторам и специалистам доступа к сценариям Windows PowerShell и командлетам, не относящимся к серверу Exchange. Можно создать роль верхнего уровня с незаданной областью и добавить к ней сценарии или командлеты, не относящиеся к серверу Exchange. Или можно создать роль на основе существующей роли верхнего уровня с незаданной областью. После создания и настройки роли с незаданной областью эту роль можно назначить для групп ролей управления, пользователей и универсальных групп безопасности. Роли с незаданной областью невозможно назначить для политик назначения роли управления. Дополнительные сведения о ролях с незаданной областью см. в разделе Общие сведения о ролях управления.
.gif "Внимание") Внимание! |
|---|
| Роли с незаданной областью являются полнофункциональными, поскольку к ним не применяются области управления. Это значит, что содержащиеся в них сценарии и командлеты, не относящиеся к серверу Exchange, могут выполняться для любого объекта в организации Exchange. Это необходимо учитывать при добавлении сценариев или командлетов, не относящихся к серверу Exchange, в роль с незаданной областью и при назначении роли с незаданной областью. |
.gif "Примечание") Примечание. |
|---|
| Чтобы создать роль, содержащую командлеты Exchange, необходимо создать роль на основе существующей роли управления. Дополнительные сведения о создании ролей с командлетами Exchange см. в разделе Создание роли. |
Необходимы сведения о других задачах управления, связанных с ролями? См. раздел Управление расширенными разрешениями.
Предварительные условия
По умолчанию возможность создания ролей с незаданной областью не предусмотрена ни для одной из групп ролей управления. Сначала необходимо назначить роль управления с незаданной областью для пользователя, универсальной группы безопасности или группы ролей, в которой состоит пользователь, после чего у пользователя появится возможность создавать группы ролей. Дополнительные сведения о добавлении роли пользователю, универсальной группе безопасности (USG) или группе ролей см. в следующих разделах:
Необходимые действия
Создание роли управления верхнего уровня с незаданной областью
Создание роли с незаданной областью на основе другой роли с незаданной областью
Создание роли управления верхнего уровня с незаданной областью
Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Роли управления с незаданной областью» в разделе Разрешения управления ролями.
Чтобы открыть доступ к сценариям или командлетам, не относящимся к серверу Exchange, для администраторов или специалистов в организации, необходимо создать роль верхнего уровня с незаданной областью. Сценарии и командлеты, не относящиеся к серверу Exchange, можно добавить только к роли верхнего уровня с незаданной областью, поскольку исходная роль с незаданной областью не наследует параметры других ролей. В этом случае новая роль верхнего уровня с незаданной областью может быть родительской ролью для других ролей с незаданной областью, которые также могут использовать добавленные сценарии и командлеты, не относящиеся к серверу Exchange.
Далее приведены шаги для создания роли верхнего уровня с незаданной областью.
Шаг 1. Создание роли верхнего уровня с незаданной областью. Создание роли верхнего уровня с незаданной областью
Шаг 2а. Добавление записей сценария ролей управления. Добавление записей сценария ролей управления
Шаг 2б. Добавление записей роли командлета, не относящегося к серверу Exchange. Добавление записей роли командлета, не относящегося к серверу Exchange
Шаг 3. Назначение роли управления: назначение роли управления
Шаг 1. Создание роли верхнего уровня с незаданной областью
Роли верхнего уровня с незаданной областью не имеют родительской роли. Чтобы создать роль без родительской роли, необходимо указать параметр UnscopedTopLevel. Для создания новой роли используйте следующий синтаксис.
New-ManagementRole <name of new role> -UnscopedTopLevel
В этом примере создается роль верхнего уровня с незаданной областью «ИТ-сценарии».
New-ManagementRole "IT Scripts" -UnscopedTopLevel
После создания роль будет пустой до добавления в нее сценариев или командлетов, не относящихся к серверу Exchange.
Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRole.
Шаг 2а. Добавление записей сценария ролей управления
Чтобы добавить сценарий в новую роль с незаданной областью, выполните этот шаг. Чтобы добавить командлет, не относящийся к серверу Exchange, в новую роль с незаданной областью, выполните Шаг 2б. Добавление записей роли командлета, не относящегося к серверу Exchange.
Чтобы добавить сценарий Windows PowerShell роли верхнего уровня с незаданной областью, необходимо добавить роли запись роли управления. Запись роли содержит имя сценария и параметры сценария, которые необходимо сделать доступными для этой роли.
Сценарий должен находиться в каталоге сценариев в пути установки Microsoft Exchange Server 2010 на каждом сервере Exchange 2010, к которому будут подключаться пользователи для запуска сценария. Если у пользователя есть доступ для запуска сценария, но сценарий не размещен на сервере Exchange 2010, к которому подключен пользователь, возникнет ошибка. Путь к каталогу сценариев по умолчанию: C:\Program Files\Microsoft\Exchange Server\V14\Scripts.
После того, как сценарий скопирован на соответствующие серверы Exchange 2010 и было решено, какие параметры сценария необходимо использовать, создайте запись роли, используя следующий синтаксис.
Add-ManagementRoleEntry <unscoped top-level role name>\<script filename> -Parameters <parameter 1, parameter 2, parameter...> -Type Script -UnscopedTopLevel
В этом примере добавляется сценарий BulkProvisionUsers.ps1 к роли IT Scripts с параметрами Name и Location.
Add-ManagementRoleEntry "IT Scripts\BulkProvisionUsers.ps1" -Parameters Name, Location -Type Script -UnscopedTopLevel
| Примечание. |
|---|
| Командлет Add-ManagementRoleEntry выполняет стандартную проверку, чтобы убедиться, что добавлены только те параметры, которые существуют в сценарии. Но после добавления записи роли никакой дальнейшей проверки не следует. При добавлении или удалении параметров позже необходимо вручную обновлять записи роли, которые содержат сценарий. |
Шаг 2б. Добавление записей роли командлета, не относящегося к серверу Exchange
Чтобы добавить командлет, не относящийся к серверу Exchange, в новую роль с незаданной областью, выполните этот шаг. Чтобы добавить сценарий в новую роль с незаданной областью, выполните Шаг 2а. Добавление записей сценария ролей управления.
Чтобы добавить командлет, отличный от Exchange, к роли верхнего уровня с незаданной областью, необходимо добавить роли запись роли управления. Запись роли содержит оснастку командлета, имя командлета и параметры командлета, которые необходимо сделать доступными для этой роли.
При добавлении командлетов, отличных от Exchange, в новую роль, командлеты должны быть установлены на каждом сервере Exchange 2010, к которым будут подключаться пользователи для выполнения командлетов. Сведения о том, как правильно установить и зарегистрировать оснастки Windows PowerShell, содержащие необходимые командлеты, см. в документации к продукту.
После установки оснастки Windows PowerShell, которая содержит командлеты на соответствующих серверах Exchange 2010, и выбора необходимых параметров командлета создайте запись роли, используя следующий синтаксис.
Add-ManagementRoleEntry <unscoped top-level role name>\<cmdlet name> -PSSnapinName <snap-in name> -Parameters <parameter 1, parameter 2, parameter...> -Type Cmdlet -UnscopedTopLevel
В этом примере добавляется командлет Set-WidgetConfiguration в оснастке Contoso.Admin.Cmdlets для роли Widget Cmdlets с параметрами Database и Size.
Add-ManagementRoleEntry "Widget Cmdlets\Set-WidgetConfiguration" -PSSnapinName Contoso.Admin.Cmdlets -Parameters Database, Size -Type Cmdlet -UnscopedTopLevel
| Примечание. |
|---|
| Командлет Add-ManagementRoleEntry выполняет стандартную проверку, чтобы убедиться, что добавлены только те параметры, которые существуют в командлете. Но после добавления записи роли никакой дальнейшей проверки не следует. Если командлет изменен позже и, соответственно, параметры позже добавлены или удалены, необходимо вручную обновить записи роли, которые содержат командлет. |
Шаг 3. Назначение роли управления
Последним шагом при создании и настройке роли является ее назначение уполномоченному роли.
.gif "Важно") Важно! |
|---|
| Области управления невозможно настроить для назначений ролей, которые назначают роль с незаданной областью. При выборе создания назначения роли для группы ролей, пользователя или универсальной группы безопасности необходимо выбрать параметр для создания назначения роли без области управления. |
Можно назначить новую роль группе ролей, пользователю или универсальной группе безопасности. Дополнительные сведения приведены в следующих разделах:
Создание роли с незаданной областью на основе другой роли с незаданной областью
Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Роли управления» в разделе Разрешения управления ролями.
При наличии роли верхнего уровня или других ролей с незаданной областью на их основе можно создать новые дочерние роли с незаданной областью. Эти дочерние роли с незаданной областью могут содержать подмножество сценариев и командлетов, существующих в родительских ролях с незаданной областью. Это полезно, например, при необходимости передать менее опытному администратору только подмножество сценариев или командлетов, доступных в родительской роли с незаданной областью.
Далее приведены шаги для создания дочерней роли с незаданной областью.
Шаг 1. Создание дочерней роли с незаданной областью. Создание дочерней роли с незаданной областью
Шаг 2. Изменение записей роли управления определенной роли. Изменение записей роли управления определенной роли
Шаг 3. Назначение роли управления: назначение роли управления
Шаг 1. Создание дочерней роли с незаданной областью
Новые дочерние роли с незаданной областью могут быть основаны на существующих ролях с незаданной областью. При создании роли существующая роль и ее записи роли управления копируются в новую роль. Существующая роль становится родительской для новой дочерней роли. При создании роли с незаданной областью на основе другой роли с незаданной областью, необходимо выбрать роль, которая содержит все необходимые командлеты и параметры, а затем удалить ненужные параметры. Дочерние роли с незаданной областью не могут содержать записи роли управления, которые отсутствуют в родительской роли.
| Примечание. |
|---|
| Чтобы создать роль с незаданной областью, которая будет содержать сценарии и командлеты, не относящиеся к серверу Exchange, отсутствующие в любой другой роли с незаданной областью, необходимо создать роль верхнего уровня с незаданной областью. Дополнительные сведения см. в подразделе Создание роли управления верхнего уровня с незаданной областью выше в этом разделе. |
Для создания новой роли используйте следующий синтаксис.
New-ManagementRole -Parent <existing unscoped role to copy> -Name <name of new unscoped role>
В этом примере копируется роль «Глобальные ИТ-сценарии» и ее записи роли управления в роль «Диагностические ИТ-сценарии».
New-ManagementRole -Parent "IT Global Scripts" -Name "Diagnostic IT Scripts"
Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRole.
Шаг 2. Изменение записей роли управления определенной роли
После создания роли необходимо изменить записи роли. Можно полностью удалить запись роли, в результате чего будет окончательно закрыт доступ к связанному сценарию и командлету, не относящемуся к серверу Exchange. Или можно удалить параметры из записи роли, что позволит закрыть доступ к определенным параметрам связанного сценария или командлета, не относящегося к серверу Exchange.
Невозможно добавить записи роли или их параметры, если они не существуют в родительской роли. Так как в первом шаге была создана роль из родительской роли, невозможно добавлять дополнительные записи роли или параметры записей, потому что они не существуют в родительской роли.
При изменении записи роли можно выполнить одно из следующих действий:
Удалить полностью одну запись роли.
Удалить полностью несколько записей роли.
Удалить параметры из записи роли.
Инструкции по удалению записи роли из новой роли см. в разделе Удаление записи роли из роли.
Шаг 3. Назначение роли управления
Последним шагом при создании и настройке роли является ее назначение уполномоченному роли.
| Важно! |
|---|
| Области управления невозможно настроить для назначений ролей, которые назначают роль с незаданной областью. При выборе создания назначения роли для группы ролей, пользователя или универсальной группы безопасности необходимо выбрать параметр для создания назначения роли без области управления. |
Можно назначить новую роль группе ролей, пользователю или универсальной группе безопасности. Дополнительные сведения приведены в следующих разделах:
© Корпорация Майкрософт (Microsoft Corporation), 2010. Все права защищены.