你目前正处于脱机状态,正在等待 Internet 重新连接

无法完成 Office 365 专用/ITAR 用户自定义的 Exchange 2013 RBAC

重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

点击这里察看该文章的英文版: 3135521
症状
在 Office 365 专用/ITAR,您会发现您无法通过使用远程 PowerShell (RPS) 进行特定的自定义。当您尝试运行一个自定义角色基于访问控制 (RBAC) 设置的命令时,您将收到类似于以下内容的错误消息:
您没有权限访问要创建、 更改或删除"<>"管理角色分配
原因
发生此问题是因为 Office 365 专用/ITAR 部署自定义角色组或管理角色时具有特定的命名要求。
解决方案
默认情况下,没有已分配的特定管理角色的 15 基线角色组。您可能需要更改基线配置,管理员和用户授予的权限创建附加限制。

若要应用 RBAC 自定义项,请执行以下步骤:
  1. 创建一个新的角色组,并填充组。执行这些操作的用户必须是 SSA 角色管理角色组的成员。
  2. 确定需要新的管理角色,确定候选基线管理角色具有这些 cmdlet,并创建新的角色的 cmdlet。
  3. 新的管理角色赋予新的角色组。
  4. 创建自定义的写作用域,并将作用域分配给新创建的角色组和管理角色 (可选)。
自定义的角色组必须具有"SSA-"启动与"SSA 帮助台管理员"。自定义的管理角色必须开始用"SSS_"与"SSA_Modify 邮箱权限。当他们尝试分配管理角色或自定义编写范围,如果不使用正确的命名标准时,管理员可能会遇到错误。

注意:我们还建议您在创建角色组指定ManagedBy参数。如果未指定所有者时,创建的角色组的用户将自动被列为所有者。可以通过设置 RoleGroup 命令 更改ManagedBy参数。有关设置-RoleGroup的详细信息,请参见 一组 RoleGroup"您没有足够的权限"错误时更改中专用的 Office 365/ITAR 的角色组的成员身份.

下面的示例演示如何创建具有自定义角色范围,使只有更改用户选项为家庭办公用户组的成员的角色组。
  1. 创建一个新的角色组:
    New-RoleGroup "SSA-Home Office" –ManagedBy "SSA-Role Management" 
  2. 创建新的管理角色根据基线角色 SSA_User 选项:
    New-ManagementRole.ps1 "SSA_Home Office - User Options" -Parent "SSA_User Options"
  3. 创建自定义的写作用域:
    New-ManagementScope "SSA-Home Office Scope" -RecipientRestrictionFilter 'Office -like "Home Office"' -RecipientRoot MMSSPP
  4. 创建角色分配将有新的管理角色的新角色组关联起来并应用自定义的写作用域:
    New-ManagementRoleAssignment -SecurityGroup "SSA-Home Office" -Role "SSA_Home Office - User Options" -CustomRecipientWriteScope "SSA-Home Office Scope"
RBAC 自定义示例的更多信息,请参见 自助服务管理指南(展开"Exchange 联机专用"和"Exchange Server 2013年-ANSI")。

属性

文章 ID:3135521 - 上次审阅时间:01/20/2016 00:22:00 - 修订版本: 1.0

Microsoft Business Productivity Online Dedicated, Microsoft Business Productivity Online Suite Federal

  • vkbportal226 kbmt KB3135521 KbMtzh
反馈
//c.microsoft.com/ms.js'><\/script>");