Exchange 2016 - Gerätefreigabe für MobileDevices in Quarantäne
Wir haben bei uns für ActiveSync die globale Gerätequarantäne aktiviert, d.h. ActiveSync-Geräte können erst nach Freigabe syncen. Soweit - so gut.
Ich möchte gern, dass dieses Freigabe-Recht bestimmten Usern erteilt wird. Dafür gibt es ja genügend Anleitungen im Netz.
So habe ich es gemacht.
Neue Gruppe bauen:
Mitglieder im AD hinzufügen...
Neue Rolle bauen:
Alles Unnötige entfernen:
Neue Rollengruppe erzeugen:
Wenn ich (als Mitglied der o.g. AD-Gruppe) nun ein Gerät über den HyperLink aus den Benachrichtigungsmails freigeben möchte kommt folgendes Bild.
Welches konkrete Recht fehlt noch? Aus meiner Sicht sollte set-CASMailbox ausreichen.
Ich habe schon ein bisschen herumgespielt. Wenn ich die og. AD-Gruppe in die vordefinierte Rollengruppe "Recipient Management" hineinnehme, dann komme ich in den entsprechenden Bereich zur Gerätefreigabe.
Weiß jemand, welches Unterrecht ich genau benötige? "Recipient Management" hat zu viele Unterrechte.
Ich möchte gern, dass dieses Freigabe-Recht bestimmten Usern erteilt wird. Dafür gibt es ja genügend Anleitungen im Netz.
So habe ich es gemacht.
Neue Gruppe bauen:
New-DistributionGroup -Name "DG-EAS-APPROVERS" -Type "Security" -OrganizationalUnit "****" -Alias "EASApprovers"
Mitglieder im AD hinzufügen...
Neue Rolle bauen:
[PS]> New-ManagementRole "MyMobileDeviceMgmtRole" -Parent "Organization Client Access"
Alles Unnötige entfernen:
[PS]> Get-ManagementRole "MyMobileDeviceMgmtRole"|Get-ManagementRoleEntry |? {$_.Name -ne 'Set-CASMailbox'}|Remove-ManagementRoleEntry -Confirm:$false
Neue Rollengruppe erzeugen:
New-RoleGroup -Name "MyDelegatedDeviceMgmtRole" -Roles "MyMobileDeviceMgmtRole" -Members "DG-EAS-APPROVERS" -Description "Members of this management role group have rights to approve and deny ActiveSync devi
ces"
Wenn ich (als Mitglied der o.g. AD-Gruppe) nun ein Gerät über den HyperLink aus den Benachrichtigungsmails freigeben möchte kommt folgendes Bild.
Welches konkrete Recht fehlt noch? Aus meiner Sicht sollte set-CASMailbox ausreichen.
Ich habe schon ein bisschen herumgespielt. Wenn ich die og. AD-Gruppe in die vordefinierte Rollengruppe "Recipient Management" hineinnehme, dann komme ich in den entsprechenden Bereich zur Gerätefreigabe.
Weiß jemand, welches Unterrecht ich genau benötige? "Recipient Management" hat zu viele Unterrechte.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 33709578588
Url: https://administrator.de/contentid/33709578588
Ausgedruckt am: 25.11.2024 um 12:11 Uhr
4 Kommentare
Neuester Kommentar
Moin,
Gruß,
Dani
weil er irgendwie mit den Kommas im CN bzw. Name/DisplayName (<Nachname>, <Vorname>) nicht klarkommt.
Anzeigenamen mit Zeichen wie Komma. You are kidding us? Es gibt einfach Dinge die man nicht tut, auch wenn es geht.Der Power-User hat dennoch zu viele Rechte, er kann z.B. auch mit set-Mailbox Attribute ändern, was ich nicht will.
D.h. wenn du die Rolle wieder wegnimmst, geht Set-Mailbox nicht mehr? Nicht das der User über einen anderen Weg noch an die Rechte gekommen ist.Gruß,
Dani