我需要在 Exchange 2013 环境中定义几个自定义管理角色,其范围必须限于特定 OU 中的收件人;但是,这些 OU 与其他 OU 处于同一 AD 级别,因此必须不是纳入角色范围。
示例场景:
Domain
- OU1
-- OU11
-- OU12
-- OU13
-- OU14
-- OU15
- OU2
-- OU21
-- OU22
-- UO23
-- OU24
-- OU25
我需要 fe 来允许用户(或组)管理 OU12、OU13 和 OU14 中的收件人,但不能管理其他任何地方的收件人。我无法更改 OU 结构,因此我无法创建中间 OU,将那些 OU 移到其下方,然后将管理角色的范围限定到该 OU。
管理角色分配的范围中是否可以包含多个 OU?或者 OU 范围是否仅限于单个 OU?
注意:我知道我可以使用对象 DN 上的 LDAP 过滤作为一种解决方法,但我真的更愿意避免这种笨拙的解决方案。