Мне нужно определить несколько настраиваемых ролей управления в среде Exchange 2013, область действия которых должна быть ограничена получателями в определенных подразделениях; однако эти OU находятся на том же уровне AD с другими, которые должны не быть включены в объем ролей.
Пример сценария:
Domain
- OU1
-- OU11
-- OU12
-- OU13
-- OU14
-- OU15
- OU2
-- OU21
-- OU22
-- UO23
-- OU24
-- OU25
Мне нужно f.e. чтобы позволить пользователю (или группе) управлять получателями в OU12, OU13 и OU14, но не где-либо еще. Я не могу изменить структуру OU, поэтому я не могу создать промежуточное OU, переместить те из них, которые находятся под ним, а затем охватить роль управления этим OU.
Можно ли включить несколько подразделений в сферу назначения роли управления? Или вместо этого область OU ограничена только одним OU?
N.B. Я знаю, что могу использовать фильтрацию LDAP для DN объектов в качестве обходного пути, но я бы предпочел избежать такого неуклюжего решения.