创建角色
适用于:Exchange Server 2013
可以创建管理角色、更改管理角色条目、根据需要添加范围,然后将该角色分配给角色受托人。 应很少需要执行此过程。 建议检查是否可以使用内置管理角色,而不是创建管理角色。 有关内置管理角色的列表,请参阅 内置管理角色。
有关 Microsoft Exchange Server 2013 中管理角色的详细信息,请参阅了解管理角色。
注意
本主题不讨论如何创建无作用域管理角色。 有关如何创建无作用域管理角色的信息,请参阅 创建无作用域角色。
是否要查找与角色相关的其他管理任务? 请查看高级权限。
开始前,有必要了解什么?
估计完成该过程的时间:10 分钟
您必须先获得权限,然后才能执行此过程或多个过程。 若要查看所需的权限,请参阅 角色管理权限主题中的"管理角色"条目。
您必须使用命令行管理程序执行这些过程。
若要了解本主题中的过程可能适用的键盘快捷键,请参阅 Exchange 管理中心内的键盘快捷键。
提示
是否有任何疑问? 在 Exchange 论坛中寻求帮助。 访问 Exchange Server 的论坛。
步骤 1:创建管理角色
新的管理角色基于现有角色。 创建角色时,将把现有角色及其管理角色条目复制到新角色。 现有角色将成为新子角色的父级。 必须始终选择包含需要使用的所有 cmdlet 和参数的角色,然后删除不需要的 cmdlet 和参数。 子角色不能具有父角色中不存在的管理角色条目。
使用以下语法创建新角色。
New-ManagementRole -Parent <existing role to copy> -Name <name of new role>
此示例将 Mail Recipients 角色及其管理角色项复制到 Seattle Mail Recipients 角色。
New-ManagementRole -Parent "Mail Recipients" -Name "Seattle Mail Recipients"
有关详细的语法和参数信息,请参阅New-ManagementRole。
步骤 2:更改新角色的管理角色条目
创建角色之后,需要更改角色的条目。 可以删除整个角色条目,这将完全删除对关联 cmdlet 的访问权限。 或者,可以从角色条目中删除参数,以删除对关联 cmdlet 上这些特定参数的访问权限。
不能在角色条目上添加新的角色条目或参数,除非它们存在于父角色中。 由于刚刚在第 1 步中从父角色创建了一个角色,因此无法在角色条目上添加任何其他角色条目或参数,原因是它们不存在于父角色中。
更改角色的角色条目时,可以执行以下操作之一:
删除一个完整的角色项。
删除多个完整的角色项。
删除角色项中的参数。
若要删除新角色中的角色条目,请参阅从角色中删除一个角色条目。
步骤 3:根据需要创建自定义管理角色范围
管理角色范围确定用户可以使用步骤 2 中配置的角色条目查看或更改的对象。 新的管理角色继承其父角色的读取和写入管理角色范围。 这些范围称为 隐式作用域。 但是,在某些情况下,你可能希望更改新角色的写入范围以满足业务需求。 创建自定义范围时,将替代角色的隐式写入范围。 角色的隐式读取范围不会更改。 有关管理角色作用域的详细信息,请参阅了解管理角色作用域。
可以创建自定义范围、创建独占范围、使用预定义范围或将分配范围限定为组织单位, (OU) 。 新范围必须位于角色的隐式读取范围内。 若要使用预定义的范围或指定组织单位,请跳到步骤 4。
若要将自定义作用域添加至新角色,请参阅创建常规或独占作用域。
步骤 4:分配新的管理角色
创建和配置角色时的最后一步是将其分配给角色接受者。
创建角色分配时,可以选择执行以下步骤之一:
创建无作用域的角色分配。
创建具有预定义作用域的角色分配。
创建具有 OU(没有域限制筛选器)的角色分配。
创建具有在步骤 3 中创建的自定义或独占作用域的角色分配。
注意
在角色和管理角色分配策略之间创建分配时,不能指定作用域。
可以将新角色分配给角色组、角色分配策略、用户或通用安全组, (USG) 。 有关详细信息,请参阅下列主题: