none
Права на mailboxdatabase RRS feed

  • Вопрос

  • Exchange 2010 SP1.

    Есть необходимость дать права региональным админам на 3 базы из 10 находящихся на сервере с ролью MailboxDatabase. С правом подключать отключенные в этих базах ящики.

    На весь сервер прав давать не хочу.

    Подскажите плиз

     

    15 ноября 2010 г. 9:29

Ответы

  • Спасибо Алексей. Статья очень помогла. Сорри что долго не отвечал в тему.

    создал группу Universal Security rusmaildbadmins

    Единственное для создания роли воспользовался графической RBAC User Editor( https://server/ecp админа организации). Мне так было наглядней для выбора подролей(групп командлетов). Тут создал набор ролей RusMailAdmin и назначил группе rusmaildbadmins

    создал область из баз:

    New-ManagementScope  - Name RusMailboxDatabase -DatabaseList Rus1,Rus2

    для ролей назначил область действия

    Get-ManagementRoleAssignment "*" | where {$_.RoleAssigneeName -eq "RusMailAdmin"} |Set-ManagementRoleAssignment
     -CustomConfigWriteScope RusMailboxDatabase -RecipientOrganizationalUnitScope "domain.com/Россия"

    НО... в ходе настройки два непонятных момента:

    1. хотел создать область для CustomRecipientWriteScope двумя вариантами:

    New-ManagementScope -Name RusUsers -RecipientRoot "domain.com/Россия" -RecipientRestrictionFilter {RecipientType -eq "UserMailbox"}

    New-ManagementScope –Name “RusUsersMailboxes” -RecipientRestrictionFilter {memberofgroup -eq "OU=Россия,DC=domain,DC=com"}

    (кажись более правильный второй)

    в обоих случаях при тестировании возникали ошибки на операции Disable-Mailbox - объект "пользователь " вне зоны ваших полномочий. хотя у этого же пользователя smtp адрес я менять могу.

    а в случае использования Set-ManagementRoleAssignment -RecipientOrganizationalUnitScope "domain.com/Россия" без проблем. В чем разница???

    2. пользователям из группы rusmaildbadmins в том числе надо было делегировать право подключать отключенные ящики(Connect-Mailbox).

    удалось это сделать только дав им роль Mail Enabled Public Folders, что нежелательно. В EMC даже раздел Disconnected mailbox отсутствовал. Как это связано между собой мне непонятно. Если кто может - объясните в два слова.

     

     

    • Помечено в качестве ответа Влад Кулик 22 ноября 2010 г. 8:36
    22 ноября 2010 г. 8:35

Все ответы

  • Наделение правами пользователей в 2010-м Exch`e делается при помощи RBAC. В RBAC есть параметр Scope, который позволяет гибко настроить область действия ролей.

    Вот здесь разобрана задача (в середине), очень похожая на вашу, только с другими командлетами.


    http://alexxhost.ru
    15 ноября 2010 г. 11:20
  • Спасибо Алексей. Статья очень помогла. Сорри что долго не отвечал в тему.

    создал группу Universal Security rusmaildbadmins

    Единственное для создания роли воспользовался графической RBAC User Editor( https://server/ecp админа организации). Мне так было наглядней для выбора подролей(групп командлетов). Тут создал набор ролей RusMailAdmin и назначил группе rusmaildbadmins

    создал область из баз:

    New-ManagementScope  - Name RusMailboxDatabase -DatabaseList Rus1,Rus2

    для ролей назначил область действия

    Get-ManagementRoleAssignment "*" | where {$_.RoleAssigneeName -eq "RusMailAdmin"} |Set-ManagementRoleAssignment
     -CustomConfigWriteScope RusMailboxDatabase -RecipientOrganizationalUnitScope "domain.com/Россия"

    НО... в ходе настройки два непонятных момента:

    1. хотел создать область для CustomRecipientWriteScope двумя вариантами:

    New-ManagementScope -Name RusUsers -RecipientRoot "domain.com/Россия" -RecipientRestrictionFilter {RecipientType -eq "UserMailbox"}

    New-ManagementScope –Name “RusUsersMailboxes” -RecipientRestrictionFilter {memberofgroup -eq "OU=Россия,DC=domain,DC=com"}

    (кажись более правильный второй)

    в обоих случаях при тестировании возникали ошибки на операции Disable-Mailbox - объект "пользователь " вне зоны ваших полномочий. хотя у этого же пользователя smtp адрес я менять могу.

    а в случае использования Set-ManagementRoleAssignment -RecipientOrganizationalUnitScope "domain.com/Россия" без проблем. В чем разница???

    2. пользователям из группы rusmaildbadmins в том числе надо было делегировать право подключать отключенные ящики(Connect-Mailbox).

    удалось это сделать только дав им роль Mail Enabled Public Folders, что нежелательно. В EMC даже раздел Disconnected mailbox отсутствовал. Как это связано между собой мне непонятно. Если кто может - объясните в два слова.

     

     

    • Помечено в качестве ответа Влад Кулик 22 ноября 2010 г. 8:36
    22 ноября 2010 г. 8:35