在前面的文章中我们已经完成了一些配置,似的我们前端的用户逐步的已经完成了多租户的隔离,今天我们要做的就是针对管理员进行多租户的隔离操作。
首先,我们需要针对不同的租户创建不同的邮箱数据库,创建的过程这里就不再重复了,但是名称需要按照一定规则,因为后面我们会使用RABC来控制不同租户管理员数据库的权限。
这里我使用的是Tenant + 租户名称 + Database + 数据库编号 的形式。
然后我们到权限选项卡中,在管理员角色中单击新建。
然后输入一个名称,这里最好以中文并设置好识别的名称。然后下方我们d组织单位,我们需要填入租户的OU。
单击+ 可以进入选择角色的窗口,这里我们选择 Mailbox Recipients、Mailbox Search以及Mail Recipient Creation。
返回角色组窗口,在成员位置处,我们单击“+” 可以添加成员到这个组中。
因为这里新建的是租户A邮箱管理员,所以我将之前创建的租户A邮箱管理员这个账号添加了进去。
回到角色组界面,确认所有的操作都已经完成,我们单击保存即可。
这时EAC - 权限 - 管理员角色中会出现我们刚刚新建的某个租户的邮箱管理员角色组,我们以后也可以随时的添加成员到这个组,并在旁边很清晰的看到这个组的描述、成员及管理角色分配。
接下来,打开本地的EMS,键入以下命令来新建一个数据库管理区域。其中的“*tenant1*”就是之前我们建立数据库时使用的名称格式中的租户信息。
New-ManagementScope -Name "Tenant1" -DatabaseRestrictionFilter {Name -Like "*tenant1*" }
然后我们可以通过Get-ManagementRoleAssigment 来查找我们刚才创建的租户邮箱管理员角色组,把我们刚才创建的数据库管理区域分配给租户管理员角色组:
Get-ManagemnetRoleAssigment *租户1* | Set-ManagemnetRoleAssignment -custRecipientWriteScope tenant1
完成之后,我们还需要执行以下命令,来控制不同租户对邮箱管理的范围:
New-ManagementScope -Name "tenant1 Mailboxes" -RecipientRoot "exchange.com/租户/A" -RecipientRestrictionFilter {RecipientType -eq "UserMailbox"}
这里就没有重复截图了,步骤跟上面一样,只是这里需要指定RecipientRoot 即租户的OU位置。