none
Права пользователей на "политики Outlook Web App" RRS feed

  • Вопрос

  • Добрый день. Помогите разобраться.

    Прошла миграция с 2010SP3 на 2013CU5 (Сейчас обновлено до CU11)

    Клиенты в 95% OWA


    Однако выяснилась такая неприятная особенность:

    Если пользователь набирает https://mail.mydomain.ru/ecp то ему становятся доступны для изменения некоторые настройки на уровне организации, а именно: изменение параметров политик OWA. 

    Создание новой пользовательской роли и политики и назначение их тестовому пользователю результатов не принесли. 

    Ткните носом, куда копать? 

    11 февраля 2016 г. 12:40

Ответы

  • С удалением Domain Users из группы Recipient Policies Users экспериментировал - отвалились параметры в OWA....

    Удалите те параметры,которые вам не нужны из командлета для группы RBAC.

    http://blogs.technet.com/b/rmilne/archive/2013/12/16/how-to-add-or-remove-cmdlet-parameter-from-rbac-management-role.aspx

    12 февраля 2016 г. 8:24

Все ответы

  • Какие именно действия можно выполнять? Так по командлету можно понять так:

    Get-ManagementRoleEntry “*\set-owa*”

    Get-ManagementRoleAssignment -role "роль из командлета выше" | fl Identity

    Понять кто входит в группу AD. 

    11 февраля 2016 г. 14:37
  • Добрый день.

    Identity : Recipient Policies-Recipient Policies Users - ExchangeOperators; Domain Users 

    Должны ли в этой группе быть Domain Users ?

    Вообще вывод команд выглядит так:

    [PS] C:\Users\adm\Desktop>Get-ManagementRoleEntry "*\set-owa*"

    Name                           Role                      Parameters
    ----                           ----                      ----------
    Set-OwaMailboxPolicy           Mail Recipients           {ActionForUnknownFileAndMIMETypes, ActiveSyncIntegrationEna...
    Set-OwaMailboxPolicy           Recipient Policies        {ActionForUnknownFileAndMIMETypes, ActiveSyncIntegrationEna...
    Set-OwaVirtualDirectory        Exchange Virtual Direc... {ActionForUnknownFileAndMIMETypes, ActiveSyncIntegrationEna...


    [PS] C:\Users\adm\Desktop>Get-ManagementRoleAssignment -role "Mail Recipients" | fl Identity


    Identity : Mail Recipients-Organization Management-Delegating

    Identity : Mail Recipients-Organization Management

    Identity : Mail Recipients-Recipient Management

    Identity : Mail Recipients-Recipient Management - Office Managers

    Identity : Mail Recipients-Exchange Operators

    Identity : Mail Recipients-Exchange Support



    [PS] C:\Users\adm\Desktop>Get-ManagementRoleAssignment -role "Recipient Policies" | fl Identity


    Identity : Recipient Policies-Organization Management-Delegating

    Identity : Recipient Policies-Organization Management

    Identity : Recipient Policies-Recipient Management

    Identity : Recipient Policies-Recipient Policies Users

    Identity : Recipient Policies-Exchange Operators

    11 февраля 2016 г. 14:57
  • Не понял где именно добавлены Domain Users?В ExchangeOperators?

    11 февраля 2016 г. 15:03
  • Добрый день. Нет, только в группу "Recipient Policies-Recipient Policies Users" входят - ExchangeOperators и Domain Users, в остальных группах OU "Microsoft Exchange Security Groups" рядовых пользователей нет.

    Кстати, по запросу еще выявлена группа (которой не вижу в вышеупомянутом OU) 

    [PS] C:\Users\adm\Desktop>Get-ManagementRoleAssignment -role "Exchange Virtual Directories" | fl Identity

    Identity : Exchange Virtual Directories-Organization Management-Delegating



    12 февраля 2016 г. 6:14
  • Ну вот, вы либо удаляете группу Domain Users из этой группы, либо убираете из роли командлеты.

    По поводу Exchange Virtual Directories -так и должно быть.

    • Предложено в качестве ответа Ivan.Basov 12 февраля 2016 г. 7:52
    12 февраля 2016 г. 7:46
  • С удалением Domain Users из группы Recipient Policies Users экспериментировал - отвалились параметры в OWA....
    12 февраля 2016 г. 8:19
  • С удалением Domain Users из группы Recipient Policies Users экспериментировал - отвалились параметры в OWA....

    Удалите те параметры,которые вам не нужны из командлета для группы RBAC.

    http://blogs.technet.com/b/rmilne/archive/2013/12/16/how-to-add-or-remove-cmdlet-parameter-from-rbac-management-role.aspx

    12 февраля 2016 г. 8:24