none
Хитрое делегирование Exchange 2010 RRS feed

  • Вопрос

  • Требование:
    Хочу в Exchange 2010 SP1 делегировать права на создание для пользователей из OU "A" ящиков только в базе "AA", для пользователей из OU "B" ящиков только в базе "BB"

    подготовка.

    Создал роль "Enable-Mailbox" с нужными разрешениями.

    создал 2 management scope
    [PS] C:\Windows\system32>Get-ManagementScope | select ScopeRestrictionType, DatabaseFilter,  name

                       ScopeRestrictionType DatabaseFilter                          Name
                       -------------------- --------------                          ----
                              DatabaseScope Name -eq 'AA'                            AA
                              DatabaseScope Name -eq 'BB'                            BB

    Сделал 2 универсальные группы и сделал 2 Role Group:

    New-RoleGroup "Line 1 ServiceDesk AA" -roles 'Enable-Mailbox' -CustomConfigWriteScope "АА" -RecipientOrganizationalUnitScope "company.org/sites/A/staff" -Members 'COMPANY\AA Group'
    New-RoleGroup "Line 1 ServiceDesk BB" -roles 'Enable-Mailbox' -CustomConfigWriteScope "BB" -RecipientOrganizationalUnitScope "company.org/sites/B/staff" -Members 'COMPANY\BB Group'


    теперь добавляю тестового юзера в группу "COMPANY\AA Group", он может создавать ящик только для пользователей из OU "A" и только в базе "AA"
    Все замечательно.
    убираю из "COMPANY\AA Group", добавляю в "COMPANY\BB Group", он может создавать ящик только для пользователей из OU "B" и только в базе "BB"
    Все замечательно.

    Теперь, я добавляю в обе группы.
    И он может создавать ящик для пользователей из OU "A" как в базе "AA", так и в базе в базе "BB"
    И для пользователей из OU "B" тоже в обоих базах.

    В чем я неправ ?

    27 февраля 2012 г. 13:43

Ответы

  • В том что это РБАК штука объектная, вы все правильно сделали, просто получилось вот что.

    Пользователь может создать маилбоксы вбазах:

    АА

    ББ

    В ОЮ:

    АА

    ББ

    Тоесть любые комбинации.

    Я думаю нет вариантов в вашем случае разделить права именно так, как вы хотите.


    Мой скромный Блог

    • Помечено в качестве ответа Mikhail Penkov 27 февраля 2012 г. 14:33
    27 февраля 2012 г. 13:54

Все ответы