1.
Crear un grupo de usuarios llamado TestRBAC de tipo universal – security. Este grupo puede ser dinamico y contener todos los usuarios menos los administradores (o finalmente
todos los usuarios)
2.
Seguir estos pasos para crear un Management role personalizado:
Creo una entrada que es una copia de la administracion del perfil
New-ManagementRole -name "MyProfileInformation Custom" -Parent "MyProfileInformation"
Elimino de este role la capacidad de alterar cualquier registro
Get-managementRoleEntry "MyProfileInformation Custom\*" | where { $_.Name -ne "Set-User"} | Remove-ManagementRoleEntry
Agrego al grupo la capacidad de solo editar su display name
Set-ManagementRoleEntry "MyProfileInformation Custom\Set-User" -Parameters DisplayName
Asigno este rol a un grupo de seguridad universal que puede ser dinamico
New-ManagementRoleAssignment -name "test" -Role "MyProfileInformation Custom" -securityGroup "TestRBAC"
3.
Configurar con la cuenta administrador del dominio desde el ECP que se denieguen todos los puntos de seguridad
4.
Iniciar sesión con un usuario que este en el grupo dinámico creado en el punto 1 y voila!! El usuario solo puede modificar su display name
J