Recipient Administrator и как ограничить его права Exchange 2007

Суть проблемы в следующем. Роль администратора получателей имеет область применения на всю организацию Exchange. Иными словами, администратор может создать пользователя с почтовым ящиком в любом хранилище почтовых ящиков любого сервера Exchange 2007. Более того, зачастую этот пользователь не обладает правами recipient administrator на уровне всей организации, но например, является администратором дочернего домена, которому делегированы права Exchange Server Administrator для управления серверами, развернутыми в этом домене, и Exchange View-Only Administrator для просмотра информации об объектах организации Exchange

До последнего времени у меня не было ответа на этот вопрос. Давайте разберемся, в чем проблема

Для эффективного управления получателями у учетной записи администратора должны быть права, описанные в статье technet

В этом случае при создании почтового ящика у пользователя меняются ряд атрибутов, и проконтролировать — какие именно значения примут эти атрибуты не представляется возможным. Кроме того, при создании почтового ящика, меняется атрибут объекта хранилища почтовых ящиков, а именно HomeMDBBL. Этот атрибут содержит список Distinguished Names всех пользователей, чьи почтовые ящики располагаются в этом хранилище. Однако этот атрибут модифицируется независимо от того, есть ли у пользователя права на изменение этого свойства хранилища, или нет. Более того, администраторы получателей такого права не имеют

clip_image001

Так как же нам решить поставленную задачу? Как разрешить администратору создавать почтовые ящики только в определенных хранилищах?

Ответ такой. Для этого необходимо в явном виде запретить этим пользователям или группам пользователей видеть хранилища почтовых ящиков, где они не должны иметь возможность создания ящиков (Deny — Read). Следует отметить, что поддерживать данную схему достаточно сложно, особенно при большом количестве серверов и хранилищ. Создание каждого нового хранилища будет сопряжено с дополнительными дейтствиями по назначению соотвествующих разрешений.  Кроме того, сложно сказать — насколько данное решение будет поддерживаемым. Для больших организаций, как правило, это немаловажный аргумент

Вы можете оставить комментарий, или Трекбэк с вашего сайта.
Роуминг по России. Выгодные тарифы на http://beeline-otzyvy.ru/ Расчёт стоимости звонков в роуминге.

Оставить комментарий

Разработка NewWpThemes.com  |  WordPress шаблоны