Форум системных администраторов
IT => Windows => Тема начата: goro от 02 апреля 2018, 19:16:29
-
Доброго времени суток!
Поделитесь опытом кто и как ограничивает\дилегирует права для первой лини поддержки?
Как начал создавать список операций которые они выполняют, выходит что все права нужны....
-
Как начал создавать список операций которые они выполняют, выходит что все права нужны....
Да ладно, что это все-то?
RBAC используете, надеюсь? Там встроенные группы неплохие, для поддержки, вот этой, что, недостаточно?
Recipient Management
Members of this management role group have rights to create, manage, and remove Exchange recipient objects in the Exchange organization.
Assigned Roles
Distribution Groups
Mail Recipient Creation
Mail Recipients
Message Tracking
Migration
Move Mailboxes
Recipient Policies
Team Mailboxes
Настраивается там всё очень гибко, можно не встроенные использовать, а на их основе свое создавать, правда, уже из повершелла.
И ссылочка в тему: https://www.codetwo.com/admins-blog/how-to-manage-role-based-access-control-in-exchange-2013/
Updated: 02 April 2018, 21:47:09
А-а, насчет AD не заметил вопрос, выше ответ по Exchange только.
-
Что касается AD. Во-первых, правильная структура OU. Типа такой:
[attachimg=1]
Права поддержке выдаются на контейнеры "Company Users" и "Workstations". Обратите внимание, что такая структура позволяет гибко настраивать политики, минимально используя Security Filtering и выстраивая нормальное наследование прав.
OU со всякими важными учетки вынесены на один уровень с OU "Company Users", из тех же соображений.
По делегированию, посмотрите встроенную группу "Account Operators" и какие у нее права на встроенный контейнер Users, к примеру.