Я успешно создал ограниченную роль управления и назначил для нее пользователя, что позволяет младшему администратору только две вещи через веб-страницу ECP:
- Сброс паролей в определенном организационном подразделении
- Создавайте новых пользователей в том же
Права на запись не проблема: вы просто выбираете область действия. Однако они действительно не должны видеть данные AD (пользователи, группы) для любой другой ОУ. Но когда они входят в систему, в списке отображается весь мир.
Все, что я прочитал, похоже, не дает гибкости области чтения - она должна быть неявной и включать всю организацию: https://technet.microsoft.com/en-us/library/dd335146(v=exchg.150).aspx#ImplicitScopes
Я знаю, что это иррациональное ограничение, и есть способ делать то, что я хочу, и что это будет намного сложнее, чем я когда-либо хотел бы, но это возможно, поэтому я надеялся, что меня укажут в правильном направлении.
ОБНОВИТЬ Похоже, это невозможно: https://social.technet.microsoft.com/Forums/exchange/en-US/a063a190-89a4-4611-aa8d-772ab5a832f7/exchange-2013-rbac-read-scope?forum=exchangesvradmin&prof=required но это просто очень удивительно.
После долгих поисков и нескольких подобных сообщений стало ясно, что это просто невозможно.