背景
在Exchange 2010中,如果您使最终用户成为分发列表所有者,则他们能够通过OWApipe理该列表。 但是,分配的默认MyDistributionGroupspipe理angular色给予了太多权限。 用户不仅可以pipe理自己的群组,还可以创build和删除其他通讯组。 该angular色规定用户能够运行Set-DistributionGroup; Set-Group; Set-DynamicDistributionGroup; New-DistributionGroup Set-DistributionGroup; Set-Group; Set-DynamicDistributionGroup; New-DistributionGroup Set-DistributionGroup; Set-Group; Set-DynamicDistributionGroup; New-DistributionGroup等命令来pipe理成员。
有很多文章围绕如何创build一个新的默认pipe理angular色,不包括New-DistributionGroup和Remove-DistributionGroup命令。
但是,这仍然允许组所有者修改像DisplayName和Alias这样的设置。 这可能会导致用户为通讯组列表创build一个新的电子邮件地址,并导致无意的问题。
在testing中,我创build了一个基于原始MyDistributionGroupsangular色的pipe理angular色,但不包括New-DistributionGroup , Remove-DistributionGroup和Set-Group 。 这允许组所有者仍然pipe理组,不删除或创build新组,也不更改Active Directory端设置(如DisplayName ,添加或删除其他所有者。
不幸的是,它仍然允许他们改变Alias 。
题
有谁知道在Exchange 2010中限制组所有者的方法,以便他们可以pipe理成员,但不能更改像Alias这样的属性?