Управление группами рассылки в Exchange как пример использования RBAC

Известно, что в Exchange 2010 имеется возможность дать разрешение пользователям на управление группами рассылки. Если включить в политику назначения ролей по умолчанию (Default Role Assignment Policy) для пользователей роль MyDistributionGroups, они смогут очень многое (см. скриншот):

image

Пользователи теперь могут оперировать группами рассылки по полной программе:

image

Но как правило администратору совсем не нужно, чтобы пользователи могли создавать или удалять группы рассылки. Но вполне допустимо разрешить им управлять группами рассылки, на которые им назначены полномочия менеджера, т.е. управлять составом этих групп. Как можно этого достичь? Вот этим маленьким скриптом. Скрипт запускается из консоли Exchange Powershell один раз:  Manage-Groupmanagmeentrole.ps1 -creategroup –removegroup . Он создаёт новую роль управления RBAC MyDistributionGroupsManagement, являющуюся дочерней к роли MyDistributionGroups, убирает из списка командлетов те, которыми создаются или удаляются группы (new-distributiongroup, remove-distributiongroup), и назначает данную роль политике Default Role Assignment Policy.

image

Чтобы всё заработало, администратор должен в политике назначения ролей пользователей по умолчанию отключить использование роли MyDistributionGroups, оставив включённой дочернюю роль MyDistributionGroupsManagement:

image

После этого пользователи перестают видеть кнопки создания или удаления групп в ECP, но могут управлять свойствами принадлежащих им групп (кнопка “Подробности”):

image

Данный простенький пример показывает, как в Exchange 2010 достаточно эффективно можно проводить тюнинг контроля доступа к разным функциям почтовой системы для пользователей, как это можно делать через веб-консоль и через консоль PowerShell.