none
Exchange Recipient Administrator - огрананичение прав на OU RRS feed

 > 

  • Общие обсуждения

  • Discussion
    Нужно войти
    0
    Нужно войти

    Ad 2008 R2
    Есть OU предприятия 
    в этом OU  создано  несколько вложенных OU (статичны и не должны меняться)
     
    Servers
    Computers
    Users
    Groups
    Contscts
    Service Accounts

    Создал глобальную группу OU Admins делегировал права таким образом чтобы ее члены могли управлять всеми дочерними объектами в нутри OU но при этом не могли управлять разрешениями  на  OU верхнего уровня и  не могли создавать объекты в этом OU но при этом могли создавать объекты в дочерних OU.

    В такой структуре - Все прекрасно ботаее т  каждый админ может создавать объекты в своем OU.

    Так же есть админ Exchange 2010 который входит в группу Exchange Recipient Administrator   и он  может создавать объекты (пользователь) в любой OU -   вот это уже  хорошо - как  ограничить Exchange администраторов таким  OU  ?

    17 марта 2010 г. 11:54
    |

Все ответы

  • Discussion
    Нужно войти
    0
    Нужно войти
    Просто отдельно вручную делегируешь права для админа Exchange 2010  в  OU  которую надо.
    17 марта 2010 г. 12:41
    |
  • Discussion
    Нужно войти
    0
    Нужно войти

    Они по умолчанию уже делегированы и любой Exchange Recipient Administrator    может создавать пользователя в любом OU

    Как это запретить?

    Мне нужно чтобы каждый EX админ мог создавать юзеров с ящиками только в своем OU.

    17 марта 2010 г. 13:15
    |
  • Discussion
    Нужно войти
    0
    Нужно войти
    создавать новую USG для администраторов, назначить этой группе такие же management role и ограничить область действия группы Management role scope той OU, которой хотите
    17 марта 2010 г. 13:22
    |
    Отвечающий
  • Discussion
    Нужно войти
    0
    Нужно войти



    Так же есть админ Exchange 2010 который входит в группу Exchange Recipient Administrator   и он  может создавать объекты (пользователь) в любой OU -   вот это уже  хорошо - как  ограничить Exchange администраторов таким  OU  ?


    Попробуйте что-то типа:
    Add-AdPermission -Identity  "ou=allusers,dc=domain,dc=com" -User "domain\recipientadministrator" -AccessRights ReadProperty -Properties Exchange-Information, Exchange-Personal-Information

    Add-AdPermission -Identity  "ou=exchangeusers,dc=domain,dc=com" -User "domain\recipientadministrator" -AccessRights ReadProperty, WriteProperty -Properties Exchange-Information, Exchange-Personal-Information

    Писал по памяти, т.к. пока не могу попасть в консоль Exchange. Так что прошу извинить за возможные ошибки.
    MCTS
    17 марта 2010 г. 13:32
    |
  • Discussion
    Нужно войти
    0
    Нужно войти

    Уважаемый Denis Abramenko

    Как продвигается решение вашей проблемы?

    19 марта 2010 г. 13:18
    |
    Модератор
  • Discussion
    Нужно войти
    0
    Нужно войти

    Проработал уровни доступа в выходные буду пробовать делегировать :-)

    19 марта 2010 г. 13:25
    |
  • Discussion
    Нужно войти
    0
    Нужно войти

    Добрый день,

    отпишитесь о решении проблемы, пожалуйста.

    24 марта 2010 г. 11:10
    |
    Модератор