Ticket: Exchange 2010 群組委派設定
請教一下,在Exchange 2010中的全球通訊清單中的群組,是否可以委派?
指派有權限的user,可以將人員名單加入/移除適當的群組中,但是不能變更群組管理員,
也不能異動(如更名)或刪除群組!
需求為公司內部有很多專案與業務行為,同仁想依不同的需求,建立專屬的全域通訊群組,
以方便聯絡不同的人(跨部門);但是這會增加很多IT的工作,所以才想要諮詢這個部份,
是否可以委派給一般usre自行加入/刪除通訊群組成員,但是不能刪除群組。
解決方式:
==============================================
Part 1 使用者及群組設定
==============================================
您的需求可參考下列流程進行設定
==============================================
Part 1 使用者及群組設定
==============================================
您的需求可參考下列流程進行設定
1. 建立新的DL - DistributionGroup (也就是通訊群組,群組型態有分
Distributio or Security)
New-DistributionGroup -Name "Group1" -OrganizationalUnit "MSFT.corp.com/Users" -SamAccountName "Group1" -Type "Security" -DisplayName "Group1"
各參數可參考下列網址
2. 接著設定這群組的管理者或多個管理者,為方便可包含管理者所使用的帳號
Set-DistributionGroup -Identity "Group1" -ManagedBy "User1"
Set-DistributionGroup -Identity "Group1" -ManagedBy "User1"
詳細設定可參考
3. 接著加入群組成員
Add-DistributionGroupMember -Identity "Group1" -Member User1
Add-DistributionGroupMember -Identity "Group1" -Member User1
Add-DistributionGroupMember -Identity "Group1" -Member User2
Add-DistributionGroupMember -Identity "Group1" -Member User3
4. 設定完後的Group manager 只能新增修改群組成員
==============================================
Part 2 群組權限設定,設定啟用管理者可修改群組成員
==============================================
Part 2 群組權限設定,設定啟用管理者可修改群組成員
==============================================
[PS] C:\>Add-ADPermission -Identity "Group1" -User "User1" -AccessRights WriteProperty -Properties "Member"
==============================================
Part 3 Management Role 設定
==============================================
Part 3 Management Role 設定
==============================================
請再透過 EMS 執行下列步驟
1. 建立一個新的ManagementRole ,名稱為 "OwnerDistributionGroups",從父系" MyDistributionGroups"參照權限
[PS] C:\>New-ManagementRole -Name "OwnerDistributionGroups" -Parent "MyDistributionGroups"
[PS] C:\>New-ManagementRole -Name "OwnerDistributionGroups" -Parent "MyDistributionGroups"
Name RoleType
---- --------
OwnerDistributionGroups MyDistributionGroups
---- --------
OwnerDistributionGroups MyDistributionGroups
2. 在移除 New & Remove 兩個RoleEntry 的權限,這兩個權限會讓Group owner 有權限新增及移除群組,因您不需要,所以就設定移除。
[PS] C:\>Remove-ManagementRoleEntry "OwnerDistributionGroups"\New-DistributionGroup -Confirm:$false
[PS] C:\>Remove-ManagementRoleEntry OwnerDistributionGroups\Remove-DistributionGroup -Confirm:$false
3. 上述動作完後,自訂Role 的權限及達成需求 (移除群組擁有者"新增及移除"群組的權限),接著在指派到預設的委派原則中
[PS] C:\>New-ManagementRoleAssignment -Role OwnerDistributionGroups -Policy "Default Role Assignment Policy"
Name Role RoleAssigneeName RoleAssigneeType AssignmentMethod Effectie
---- ---- ---------------- ---------------- ---------------- -------
OwnerDistributionGroups-Def... OwnerDistribut... Default Role A... RoleAssignment... Direct
完成設定
Comments
Post a Comment