none
Делегирование управления адресными листами Exchange для администратора поддомена. RRS feed

  • Вопрос

  • Уже было выполнено:

    New-ManagementScope -Name "Scope filial Site" -ServerRestrictionFilter {ServerSite -eq "CN=FILIAL-SITE,CN=Sites,CN=Configuration,DC=domen,DC=ru"}

    Net-ManagementScope "Scope BARN OU" -RecipientRoot "filial.domen.ru/USERS" -RecipientRestrictionFilter {Database -Like "FILIALdb*"}

    New-RoleGroup "Address lists Filial" -Roles "Address lists","Distribution Groups","Mail Enabled Public Folders","Mail Recipient Creation","Mail Recipients","Message Tracking","Migration","Move Mailboxes","Recipient Policies", -CustomConfigWriteScope "Scope filial Site" -CustomRecipientWriteScope "Scope FILIAL OU"

    New-ManagementScope "Scope FILIAL OAB" -ServerRestrictionFilter {DistinguishedName -Like "CN=FILIAL"} 

    Set-ManagementRoleAssignment "Address Lists-Recipient Management FILIAL" -CustomConfigWriteScope "Scope FILIAL OAB" -CustomRecipientWriteScope "Scope FILIAL OU"

    Роль "Address lists" работает на всю книгу, а нужно чтоб только на свою ветку. Может кто знает?

    26 декабря 2017 г. 8:08

Ответы

  • Попробуйте в ADSI поправить права на адресные книги, а потом точно так же через него же отредактировать фильтр от имени администратора, которому надо делегировать данные полномочия. Совершенно не уверен, что это будет работать, но других вариантов придумать не могу.

    CN=All Address Lists,CN=Address Lists Container,CN=MyOrgname,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=contoso,DC=com

    Ну или все же редактировать RecipientFilter самому, по запросу администраторов поддоменов.

    27 декабря 2017 г. 12:45

Все ответы

  • Насколько я помню, так сделать нельзя. Раньше что-то подобное было в Exchange 2010 Hosting Edition, но его уже давно с нами нет.

    Можете привести пример задач, которые собираетесь решать? Возможно, получится выкрутиться путем использования динамических групп рассылок и прав на OU в AD.

    26 декабря 2017 г. 11:10
  • Один лес типа *.domen.ru. Админы головного офиса "держат" организацию exchange (У них domen.ru). Используется один GAL на весь лес. Нам необходимо чтобы админ домена spb.domen.ru и админ kzn.domen.ru могли в своей ветке всё править, но не могли в чужой. Притом админ домена domen.ru мог править весь лист. 
    • Изменено civdef 26 декабря 2017 г. 11:54
    26 декабря 2017 г. 11:46
  • Но ведь администраторы доменов могут изменять информацию для пользователя в Active Directory, она автоматически подтянется в адресные книги. Что вы хотите дать возможность менять напрямую в адресных книгах? RecipientFilter?
    26 декабря 2017 г. 11:53
  • Да, RecipientFilter.Хочу чтоб они не лезли в корень адресного листа, а могли работать только в своей ветке.
    • Изменено civdef 26 декабря 2017 г. 12:16
    26 декабря 2017 г. 12:15
  • Теоретически, можно поиграться с правами на объекты ADSI:

    CN=All Address Lists,CN=Address Lists Container,CN=MyOrgname,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=contoso,DC=com

    Но тогда и правки в RecipientFilter придется вносить там же с помощью редактора аттрибутов. Сразу скажу, что вариант "так себе". 

    Дело в том, что в большинстве случаев фильтр получателей для адресных книг меняется очень редко (а то и вообще один раз, при создании AL), поэтому инструментов для делегирования полномочий для них нет. Если это действительно очень надо - смотрите обходные варианты. 


    • Изменено Tema_BYMVP 27 декабря 2017 г. 12:45 очепятка
    26 декабря 2017 г. 12:26
  • Уже очень долго играюсь с этими правами. Костыли не устраивают. Microsoft позиционирует RBAC как гибкий отладчик групп управления, вот только с листами решений нет. А можете подсказать такие варианты? Вот с иерархической книгой всё хорошо и то видимо потому-что группы необходимо создавать в AD.
    27 декабря 2017 г. 12:39
  • Попробуйте в ADSI поправить права на адресные книги, а потом точно так же через него же отредактировать фильтр от имени администратора, которому надо делегировать данные полномочия. Совершенно не уверен, что это будет работать, но других вариантов придумать не могу.

    CN=All Address Lists,CN=Address Lists Container,CN=MyOrgname,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=contoso,DC=com

    Ну или все же редактировать RecipientFilter самому, по запросу администраторов поддоменов.

    27 декабря 2017 г. 12:45