m
тут, еяпп, те дается возможность от имени чанги править ад в указанной ou (ограниченное кол-во параметров и возможностей)
Size: a a a
2020 July 31
O
Нигде) ты просто не прав, иди почитай:))
m
Нигде) ты просто не прав, иди почитай:))
моя формулировка годится?)
SB
без прав в AD ничего не выйдет жеж
рили? а ты точно понимаешь как создаются почтовые ящики? :))) чтобы работало как ты сказал нужно сплит пермишн включать - это мало кто делает
m
рили? а ты точно понимаешь как создаются почтовые ящики? :))) чтобы работало как ты сказал нужно сплит пермишн включать - это мало кто делает
но делают. и кейсы бывают, так что полнота ответа за мной)
MS
моя формулировка годится?)
Я ничего не понял в твоей фразе и при чем тут рекурсия)
m
Я ничего не понял в твоей фразе и при чем тут рекурсия)
про рекурсию это ж не мое
VG
Подскажите пожалуйста, какие надо дать минимальные роли в Exchange2016, чтобы пользователь мог создавать ПЯ?
В Exchange есть 2 модели делегирования прав. Обычно используется та, при которой все изменения в AD призводятся от имени УЗ серверов Exchange. Когда вы делаете подготовку AD, предоставляются нужные разрешения встроенным группам. Есть так же модель split permission - там правами полностью управляют администраторы AD.
В первом случае используется модель предоставления разрешений через RBAC.
Достаточно много статей на тему. Суть в том, что есть встроенные роли, которые разрешают список командлетов и параметров. На основании этих встроенных ролей вы можете строить свои роли. Удалив из них не нужные вам параметры. В вашем случае нужно будет оставить enable-mailbox и ряд get- командлетов. Можно на основе вот этой роли -
https://docs.microsoft.com/en-us/exchange/recipient-management-exchange-2013-help
Если через пош не удобно, то можно попробовать RBAC manager. Он работает с последними версиями, но хочет старую версию .net. + не умеет работать с кастомными ограничениями по модификации, но вам это, может и не нужно. Ссылки под рукой нет, можно поискать - на github вроде был в последний раз.
В первом случае используется модель предоставления разрешений через RBAC.
Достаточно много статей на тему. Суть в том, что есть встроенные роли, которые разрешают список командлетов и параметров. На основании этих встроенных ролей вы можете строить свои роли. Удалив из них не нужные вам параметры. В вашем случае нужно будет оставить enable-mailbox и ряд get- командлетов. Можно на основе вот этой роли -
https://docs.microsoft.com/en-us/exchange/recipient-management-exchange-2013-help
Если через пош не удобно, то можно попробовать RBAC manager. Он работает с последними версиями, но хочет старую версию .net. + не умеет работать с кастомными ограничениями по модификации, но вам это, может и не нужно. Ссылки под рукой нет, можно поискать - на github вроде был в последний раз.
V
Спасибо, буду разбираться
MS
про рекурсию это ж не мое
Ну ты говоришь что это не рекурсия и приводишь аргумент как это работает)
m
Ну ты говоришь что это не рекурсия и приводишь аргумент как это работает)
я говорю при чем здесь вообще рекурсия?
MS
я говорю при чем здесь вообще рекурсия?
😿
VG
но делают. и кейсы бывают, так что полнота ответа за мной)
За 9 лет ни разу не видела )
O
я говорю при чем здесь вообще рекурсия?
O
при чем тут она, ты чего все о ней?
m
За 9 лет ни разу не видела )
но это никак не противоречит моему ответу
MS
За 9 лет ни разу не видела )
Я видел раза три:)
m
при чем тут она, ты чего все о ней?
VG
но это никак не противоречит моему ответу
Никак. Но я вообще не поняла, о чем конкретно был этот ответ. Так что в принципе, ему ничего не может противоречить )