起因 :
系統預定義的角色“Mail Recipient Creation”給的權限太大,在RBAC模式下,除了創建還能刪除,爲了嚴格控制權限分配,併爲了不做Ad的權限拆分的要求下,
解決思路:
對“Mail Recipient Creation”所包含的管理條目做刪除,剔除刪除類權限
實際操作:
1、新建一個角色001,默認管理條目 same “Mail Recipient Creation”
New-ManagementRole -Parent "Mail Recipient Creation" -Name "001"
2、檢查下001包含的條目
Get-ManagementRoleEntry 001\*
3、剔除“刪郵箱”的權限
Remove-ManagementRoleEntry "001\remove-mailbox"
4、繼續剔除其他 remove條目
可以用Get-ManagementRoleEntry "001\*remove*" | Remove-ManagementRoleEntry -WhatIf
批量剔除,記得whatif的檢查開關去掉
5、在EAC中 給你的管理員設定角色屬性“001”,其他角色看着給。
Ps:管理條目視需求保留。