Как дать пользователю права на управление списком рассылки в Exchange 2007

Меня, как администратора Exchange сервера постоянно мучают просьбами изменить список рассылки или адресную книгу в организации. Случайно наткнулся на один элегантный способ решения проблем. Мы должны делегировать права управления адресной книгой на какого то другого пользователя. Пускай нашей “жертвой” станет отдел кадров – кто лучше их знает кто и в каком отделе работает?

Итак…

Вам конечно знакома опция Exchange “Managed By” в списке рассылки. Она, можно полагать, может использоваться как опция “делегирование” в AD. Если вы так считаете, то вы ошибаетесь. Пользователь, указанный в поле “Managed By” просто показывает кто владелец группы, и все.

Но нам то нужно сделать так, чтобы была возможность изменять глобальный список адресов в Exchange. Для того, чтобы мы могли назначить права пользователю для изменения GAL в Exchange 2007, мы эти права должны ему делегировать.

В помощь приходит замечательная команда

Add-ADPermission

Команда

help-Add-ADPermission

Выводит информацию:

NAME
Add-ADPermission
SYNOPSIS
Используйте командлет Add-ADPermission для добавления разрешений на объект службы каталогов Active Directory.
SYNTAX
Add-ADPermission -Identity -User [-AccessRights ] [-ChildObjectTypes ] [-Confirm []] [-Deny ] [-DomainController ] [-ExtendedRights ] [-InheritanceType ] [-InheritedObjectType ] [-Properties ] [-WhatIf []] []
Add-ADPermission -Identity -Owner [-Confirm []] [-DomainController ] [-WhatIf []] []
Add-ADPermission [-Identity ] -Instance [-AccessRights ] [-ChildObjectTypes ] [-Confirm []] [-Deny ] [-DomainController ] [-ExtendedRights ] [-InheritanceType ] [-InheritedObjectType ] [-Properties < ADSchemaObjectIdParameter[]>] [-User ] [-WhatIf []] []
DETAILED DESCRIPTION
Командлет Add-ADPermission позволяет получить разрешение для доступа к объекту Active Directory, например, для из
менения записи управления доступом на объекте сервера.
Для выполнения командлета Add-ADPermission используемой учетной записи необходимо делегировать следующие роли:
* роль администратора получателей Exchange;
* роль оператора учета для соответствующих контейнеров Active Directory.
Дополнительные сведения о разрешениях, делегировании ролей и правах, необходимых для администрирования Exchange S
erver 2007, см. в разделе Вопросы, связанные с разрешениями.
Дополнительные сведения о расширенных правах см. в разделе Разрешенияhttp://go.microsoft.com/fwlink/?LinkId=85339
(на английском языке).

Итак, немного ознакомившись с мануалом по использованию данной команды, можно предположить что помимо назначения пользователя в “Managed By” мы еще должны сделать:

Add-ADPermission –identity DistributionGroup –User owner –AccessRights WriteProperty –Properties “Member”

В Exchange 2010 данный функционал обещали проработать – там добавлять права редактирования списков в адресной книге могут назначаться через консоль пользователям домена.

Пока все делаем ручками…

Интересно, как в данной ситуации поступаете вы?