Exchagne2010角色权限委派控制

       对于公司一般都会有人员的调动，比如变更用户所属部门，所属上司，居住地址，电话号码等等操作，如果以上的工作都是由邮件管理员来完成就显得不太合理了。其实我们可以指派HR邮箱来完成以上操作，这样既可以减轻管理员的工作量，又可以有效地加快了更改用户属性的效率。下面是具体的操作步骤：

1. 管理员有权限管理其他用户的邮箱，更改邮箱设置。但是把这样大的权限委派给HR是不实际的。

clip_p_w_picpath002[7]

2. 普通用户只能更改自己的邮箱设置。

clip_p_w_picpath004[5]

3. 为了实现以上的功能，首先建立HR管理组HR_admin，组的类型是安全组。

clip_p_w_picpath006[4]

4. 将HR邮箱添加到HR_admin组。

clip_p_w_picpath007[4]

5. 创建HR_Recipient_Role管理角色，Mail Recipients为系统默认的管理角色，一般情况下，不建议更改exchange默认的策略，所以要新创建。

New-ManagementRole -Name HR_Recipient_Role -Parent "Mail Recipients"

clip_p_w_picpath009[4]

6. 将创建的HR_Recipient_Role管理角色指派给HR_admin组，并命名为HR_Admin_Role。

New-ManagementRoleAssignment -Name HR_Admin_Role -Role HR_Recipient_Role -SecurityGroup HR_admin

clip_p_w_picpath011[4]

7. 查看HR_Recipient_Role管理角色所具备的权限。

Get-ManagementRoleEntry HR_Recipient_Role\* | FT Name,Role,Parameters -AutoSize

clip_p_w_picpath013[4]

8. 删除HR_Recipient_Role多余的权限，只保留get-user、set-user、get-mailbox、Get-Recipient权限。

Get-ManagementRoleEntry HR_Recipient_Role\* | where {($_.Name -NotLike "*et-User") -and ($_.Name -NotLike "get-mailbox") -and ($_.Name -NotLike "Get-Recipient")} | Remove-ManagementRoleEntry

clip_p_w_picpath015[4]

9. 查看HR_Recipient_Role是否只剩下自定义的四个权限。

Get-ManagementRoleEntry HR_Recipient_Role\* | FT Name,Role,Parameters -Autosize

clip_p_w_picpath017[4]

10. 使用HR邮箱账户打开ecp管理页面，发现HR邮箱多了“管理我的组织”的选项。

clip_p_w_picpath019[4]

11. 这里可以定义用户的属性，例如称谓、部门等等。

clip_p_w_picpath020[4]

12. HR没有权限编写用户的“其他电子邮件地址”。

clip_p_w_picpath021[4]