[решено] Делегирование прав на создание почтовых ящиков

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Microsoft Exchange Server (http://forum.oszone.net/forumdisplay.php?f=76)

Делегирование прав на создание почтовых ящиков

Доброго времени суток.

Возникла необходимость делегировать другому админу права на создание почтовых ящиков, подскажите пожалуйста как это сделать? (Варианты добавить его в группы Exchange Admin & Admin на машине с exchange не подходят).
Нашёл несколько тем на форумах, например тут, с похожим вопросом, но по ссылке на ответ, ничего интересного нету.
Если кто-то сталкивался и решал такое, подскажите пожалуйста.

Добавьте пользователя в группу Recipient Management.

Спасибо за столь быстрый ответ.
Сейчас попробую.

P.S. Подскажите пожалуйста, а если надо сделать тоже самое, но с разделением прав по доменам?
Есть лес, в котором 3 домена и одна организация exchange (извиняюсь за точки, но пробелы при сохранении пропадают и всё съезжает):
........domain1.ru
....../.................. \
domain2.ru .... domain3.ru

Вот хотелось бы, админу из домена B дать права на создание ящика для домена B, админу из домена С, дать права на создание ящиков из домена С.
Подскажите пожалуйста, можно ли так сделать?

p.s. Вроде сделал нечто подобное, но не уверен, а тестить на рабочем exchange как-то стрёмненько, буду очень благодарен, если подскажите правильно или нет:

# создание дочерней роли
New-ManagementRole –Name “DOMAIN2 Recipient Management” – Parent “Recipient Management”
New-ManagementRole –Name “DOMAIN3 Recipient Management” – Parent “Recipient Management”

# создание области действия
New-ManagementScope -Name "DOMAIN2 admins" -ServerRestrictionFilter {ServerSite -eq "CN=DOMAIN2,CN=Sites,CN=Configuration,DC=domain2,DC=ru"}
New-ManagementScope - Name "DOMAIN3 admins" -ServerRestrictionFilter {ServerSite -eq "CN=DOMAIN3,CN=Sites,CN=Configuration,DC=domain3,DC=ru"}
тут не очень понял, как можно выделить отдельный домен, по этому воспользовался примерно из get-help New-ManagementScope, хотя вариант через сайт мне не очень нравится, если можно было бы указать просто домен, мне кажется было бы лучше\нагляднее

# создание группа ролей (можно увидеть в AD->MS Exchange Security Groups)
New-RoleGroup “Group DOMAIN2 Recipient Management” –Roles “DOMAIN2 Recipient Management” -Member admin2
New-RoleGroup “Group DOMAIN3 Recipient Management” –Roles "DOMAIN3 Recipient Management” -Member admin3

Тестовым путём было выяснено, что пример приведённый выше работать не будет, т.к. Recipient Management - это группа в AD, в ManagementRole её нету...
Вопрос всё ещё остаётся открытым. Люди добрые помогите пожалуйста!

Для схемы из третьего поста у меня получилось такое:

1. New-ManagementScope -Name "Scope_DOMAIN2" -DatabaseList "DOMAIN2_Users"

2. New-RoleGroup "DOMAIN2 Recipient Management" -Roles "Distribution Groups", "Mail Enabled Public Folders", "Mail Recipient Creation", "Mail Recipients", "Move Mailboxes", "User Options", "View-Only Recipients" -Customconfigwritescope "Scope_DOMAIN2" -RecipientOrganizationalUnitScope "OU=Departments,DC=domain2,DC=ru"

3. Добавить нужную учётку в в новую группу DOMAIN2 Recipient Management

Тут правда не совсем уверен не выдал ли я лишней роли.

P.S. На другом форуме вот что ещё подсказали:

Цитата:

Для атрибута RecipientOrganizationalUnitScope значение задается в формате domain.ru/ou/ou/ou, а не как DN. Поэтому вам достаточно указать первую часть.

Может кому-нибудь поможет.