Оценивающие вложенные группы в выражении Powershell
У меня есть объем управления и ролевое присвоение управления, настроенное, которые позволяют сервисной учетной записи являться олицетворением почтовых ящиков Exchange, принадлежащих пользователям в указанном списке рассылки. Я настроил объем управления, чтобы оценить, был ли пользователь в соответствующем списке рассылки с помощью следующего Powershell:
New-ManagementScope -Name "ImpersonationScope" -RecipientRestrictionFilter {MemberOfGroup -eq "CN=Impersonated,CN=Users,DC=example,DC=com"}
Все это, работы как ожидалось, но только рассматривает пользователей, которые являются прямыми членами Явленного олицетворением списка. Если я добавлю новый список рассылки к Явленному олицетворением списку, то сервисная учетная запись не сможет явиться олицетворением почтовых ящиков, принадлежащих пользователям в этом новом списке (если тот пользователь не будет также в Явленном олицетворением).
Я решил, что могу поддерживать несколько групп любым созданием, несколько определяют объем + ролевые пары присвоения, а также включая несколько MemberOfGroup -eq предикаты, объединенные в цепочку вместе с -or операторы, но предпочли бы способ разрешить вложенные группы.
Существует ли способ, которым я могу изменить то выражение для оценки иерархии группы пользователя рекурсивно?
Я не очень хорошо знаком с командлетами Exchange или Exchange в целом, но базовые командлеты AD, такие как Get-ADUser , имеют параметр под названием LDAPFilter, который можно использовать вместо стандартного параметра фильтра.
12125] Используя LDAPFilter, вы можете использовать OID LDAP_MATCHING_RULE_IN_CHAIN для запроса членства во вложенных группах, например:
Get-ADUser -LDAPFilter "(memberOf:1.2.840.113556.1.4.1941:=CN=Impersonated,CN=Users,DC=example,DC=com)"
, который вернет всех вложенных и прямых членов этой группы.
Возможно, вы сможете использовать результаты такого запроса в вашем RecipientRestrictionFilter.
Я считаю, что для всех новых групп должна быть включена поддержка почты, чтобы к ним можно было применять разрешения обмена. Можете ли вы убедиться, что новая группа, которую вы добавляете, является группой рассылки с включенной поддержкой почты, это может быть сделано также и с группами безопасности.
Командлет Enable-DistributionGroup