我已经成功创建了一个有限的管理角色,并为其分配了一个用户,该角色只允许初级管理员通过 ECP 网页执行两件事:
-- 重置特定组织单位的密码
-- 在同一个目录中创建新用户
写入权限没有问题:你只需选择范围。然而,他们实际上不应该看到 AD 数据(用户、组)任何其他OU。但当他们登录时,会列出整个世界。
我所读到的所有内容似乎都没有给阅读范围带来灵活性 - 它必须是隐含的并且包括整个组织:https://technet.microsoft.com/en-us/library/dd335146(v=exchg.150).aspx#ImplicitScopes
我知道这是一个不合理的限制,并且有一种方法可以做我想做的事,而且它会比我想要的复杂得多,但这是可能的,所以我希望得到正确的方向。
更新看起来是不可能的:https://social.technet.microsoft.com/Forums/exchange/en-US/a063a190-89a4-4611-aa8d-772ab5a832f7/exchange-2013-rbac-read-scope?forum=exchangesvradmin&prof=required但这实在令人十分惊讶。