起因 :
系统预定义的角色“Mail Recipient Creation”给的权限太大,在RBAC模式下,除了创建还能删除,为了严格控制权限分配,并为了不做Ad的权限拆分的要求下,
解决思路:
对“Mail Recipient Creation”所包含的管理条目做删除,剔除删除类权限
实际操作:
1、新建一个角色001,默认管理条目 same “Mail Recipient Creation”
New-ManagementRole -Parent "Mail Recipient Creation" -Name "001"
2、检查下001包含的条目
Get-ManagementRoleEntry 001\*
3、剔除“删邮箱”的权限
Remove-ManagementRoleEntry "001\remove-mailbox"
4、继续剔除其他 remove条目
可以用Get-ManagementRoleEntry "001\*remove*" | Remove-ManagementRoleEntry -WhatIf
批量剔除,记得whatif的检查开关去掉
5、在EAC中 给你的管理员设定角色属性“001”,其他角色看着给。
Ps:管理条目视需求保留。
本文出自 “杂货铺-杂乱又懒的记载啥” 博客,请务必保留此出处http://windkill.blog.51cto.com/616131/1584029
原文地址:http://windkill.blog.51cto.com/616131/1584029
