Для начала вспомним, как мы делегируем права техподдержке (т.е. по сути обычным пользователям домена, в примере это пользователь DOMAIN\test) создавать почтовые ящики или управлять ими.
Сначала на основе родительских шаблонов создадим 2 тестовые роли (этот шаг можно пропустить, используя готовые шаблоны ролей):
New-ManagementRole -Name 'MR-Recipients' -Parent 'Mail Recipients'
New-ManagementRole -Name 'MR-RecipientCreation' -Parent 'Mail Recipient Creation'
Данные шаблоны ролей определяют минимальный набор прав для создания/управления почтовыми ящиками пользователей.
Далее назначим эти роли группе или пользователю.
New-ManagementRoleAssignment -Name 'MRA-Recipients' -Role 'MR-Recipients' -User DOMAIN\test
New-ManagementRoleAssignment -Name 'MRA-RecipientCreation' -Role 'MR-RecipientCreation' -User DOMAIN\test
Создадим область ограничения для нашей роли:
New-ManagementScope -Name 'MS_Test' -DatabaseRestrictionFilter "Name -like 'mbx*'"
Данная область ограничения (фильтр) будет разрешать пользователю производить операции с базами данных, названия которых начинаются со слова mbx.
Теперь назначим эту область ограничения нашему назначению роли:
Set-ManagementRoleAssignment 'MRA_Recipients' -CustomConfigWriteScope 'MS_Test'
Set-ManagementRoleAssignment 'MRA_RecipientCreation' -CustomConfigWriteScope 'MS_Test'
Сначала на основе родительских шаблонов создадим 2 тестовые роли (этот шаг можно пропустить, используя готовые шаблоны ролей):
New-ManagementRole -Name 'MR-Recipients' -Parent 'Mail Recipients'
New-ManagementRole -Name 'MR-RecipientCreation' -Parent 'Mail Recipient Creation'
Данные шаблоны ролей определяют минимальный набор прав для создания/управления почтовыми ящиками пользователей.
Далее назначим эти роли группе или пользователю.
New-ManagementRoleAssignment -Name 'MRA-Recipients' -Role 'MR-Recipients' -User DOMAIN\test
New-ManagementRoleAssignment -Name 'MRA-RecipientCreation' -Role 'MR-RecipientCreation' -User DOMAIN\test
Создадим область ограничения для нашей роли:
New-ManagementScope -Name 'MS_Test' -DatabaseRestrictionFilter "Name -like 'mbx*'"
Данная область ограничения (фильтр) будет разрешать пользователю производить операции с базами данных, названия которых начинаются со слова mbx.
Теперь назначим эту область ограничения нашему назначению роли:
Set-ManagementRoleAssignment 'MRA_Recipients' -CustomConfigWriteScope 'MS_Test'
Set-ManagementRoleAssignment 'MRA_RecipientCreation' -CustomConfigWriteScope 'MS_Test'
Комментариев нет:
Отправить комментарий