none
RBAC и ECP администратора RRS feed

  • Вопрос

  • Доброго времени суток, коллеги.

    Помогите понять взаимодействие RBAC и ECP. Есть задача, предоставить сотруднику возможность создавать почтовые ящики новых пользователей и модифицировать некоторые их параметры, при этом ограничить его именно этим функционалом через роли RBAC, но в тоже время для выполнения своих функций разрешить использовать ECP администратора (ну сложно ему использовать powershall). Порядок действий:

    New-ManagementScope –Name "Users Mailboxes" -RecipientRestrictionFilter {memberofgroup -eq "OU=Clients,DC=contoso,DC=local"}
    
    New-ManagementRole -Name "Mail Recipients - Junior Admin" -Parent "Mail Recipients"
    
    Get-ManagementRoleEntry "Mail Recipients - Junior Admin\*" | where {$_.name –ne "Enable-Mailbox"} | Remove-ManagementRoleEntry
    Add-ManagementRoleEntry "Mail Recipients - Junior Admin\Get-Mailbox"
    Add-ManagementRoleEntry "Mail Recipients - Junior Admin\Get-MailUser"
    Add-ManagementRoleEntry "Mail Recipients - Junior Admin\Get-User"
    
    New-RoleGroup -Name "Junior Admins"
    New-ManagementRoleAssignment -SecurityGroup "Junior Admins" -Role "Mail Recipients - Junior Admin"
    Get-ManagementRoleAssignment –RoleAssignee "Junior Admins" | Set-ManagementRoleAssignment –CustomRecipientWriteScope "Users Mailboxes"
    Добавляем сотрудника в созданную группу, но сотрудник к ECP администратора доступа получить не может, пока не добавишь его в одну из предопределённых групп безопасности, при этом он в интерфейсе ECP ограничивается правами этой группы. Это так задуманно и стоит для таких случаев использовать powershall или ECP администратора должно формироваться динамически в зависимоти от прав пользователя и я что-то не учитываю.

    24 июня 2013 г. 18:30

Ответы