exchange RBAC拆分权限

拆分权限使两个不同的组（如 Active Directory 管理员和 Microsoft Exchange Server 2013 管理员）能够管理各自的服务、对象和属性。Active Directory 管理员管理安全主体（如用户），这种安全主体可提供访问 Active Directory 林的权限。Exchange 管理员管理 Active Directory 对象上与 Exchange 相关的属性以及 Exchange 特定的对象创建和管理。

Microsoft Exchange Server 2013 提供下列类型的拆分权限模型：

• RBAC 拆分权限   在 Active Directory 域分区中创建安全主体的权限由基于角色的访问控制 (RBAC) 控制。只有相应角色组的成员才能创建安全主体。

• Active Directory 拆分权限   从任何 Active Directory 用户、服务或服务器完全删除了用于在 Exchange 域分区中创建安全主体的权限。RBAC 中未提供用于创建安全主体的任何选项。必须使用 Active Directory 管理工具在 Active Directory 中创建安全主体。

配置 RBAC 拆分权限：

1. 创建新角色组并分配权限，

a.打开MBX（S05）的EMS，

使用以下命令除了创建角色组之外，还可以在新角色组与Mail Recipient Creation 角色和 SecurityGroup Creation and Membership 角色之间创建常规角色分配。

New-RoleGroup "HRAdmins" -Roles "Mail Recipient Creation", "Security Group Creation and Membership"

b.使用以下命令在新角色组和“邮件收件人创建”角色以及“安全组创建和成员身份”角色之间创建委派角色分配。

New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "HRAdmins" -Delegating

New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "HRAdmins" –Delegating

c.使用以下命令将成员添加到新角色组

Add-RoleGroupMember "HRAdmins" -Member lianggj

d.打开ADUC，修改HRAdmins组如下：

e.添加HRAdmins作为Recipient Management组成员，让其拥有创建邮箱权限

2.删除从exchange管理组创建ADDS对象权限

a.使用以下命令查找所有分配给“安全组创建和成员身份”角色的常规和委派角色分配。该命令只显示Name、Role和 RoleAssigneeName属性。

Get-ManagementRoleAssignment -Role "Security Group Creation andMembership" | Format-Table Name, Role, RoleAssigneeName -Auto

b.使用Remove-ManagementRoleAssignment命令删除所有分配给“安全组创建和成员身份”角色，且与该新角色组或您想要保留的任何其他角色组、USG 或直接分配不相关联的常规和委派角色分配。

Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Where {$_.RoleAssigneeName -NE "HRAdmins" } | Remove-ManagementRoleAssignment

Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Where {$_.RoleAssigneeName -NE "HRAdmins" } | Remove-ManagementRoleAssignment

验证：

使用administratr登录EAC，打开收件人，新建用户灰色，不能创建。

使用lianggj登录EAC，

参考：https://technet.microsoft.com/zh-CN/library/dd638155(v=exchg.150).aspx