[Exchange 2007] Hoe rechten administrator roles aanpassen

Probleem: Er is een helpdesk groep die mailboxen en mailgroepen beheert en zo ook full mailbox access weg wil geven. Voor het eerste is de rolrgoep Exchange Recipient Administrators maar voor full mailbox access blijkt de rolgroep Exchange Organization Admins nodig te zijn welke ik nou juist niet wil toevoegen voor de helpdesk groep. De helpdesk groep is ook lid van de Account operator role in AD.

Graag zou ik de groep Exchange Recipient Administrators willen aanpassen in de rechten zodat ze full mailbox access toepassen.

Nou kan je zeggen, "Ho, wacht even! Je dient je maar aan de rolgroepen te houden.", maar je wilt toch niet jan en alleman Exchange Organization Admins maken zodat ze full mailbox access kunnen toepassen!?

Zoektocht:
Ik heb al gezocht en kom vooral uit hoe je full mailbox access kan uitvoeren in EMC als EMS maar het gaat mij niet om het uitvoeren maar het veranderen van de rechten van de Exchange rolgroepen. (Zelfde probleem, hoe mailbox access toepassen, cmdlet Add-ADPermission)

Oplossing...?:
De rechten worden uiteindelijk in AD weggeschreven dus daar zal ook de aanpassing voor de rolgroep moeten plaats vinden maar heb - zelf na zoeken - geen flauw idee welke rechten erbij moeten.

Heeft iemand hier al hetzelfde mee gemaakt of een oplossing(richting) voor dit probleem?

Update1:
Helpdesk groep lid van Exchange Recipient Administrators en Domain admins werkt wel maar NOT DONE!

[ Voor 3% gewijzigd door Trubo op 26-11-2008 15:49 . Reden: Informatie bijvoegen ]

Verwijderd schreef op woensdag 26 november 2008 @ 22:02:
Ik zou van de std groepen afblijven. Maak een nieuwe groep aan en maak gebruik van 'Delegate of Control'.

Dat is inderdaad een goed idee om de bestaande groepen intact te laten en een extra groep aan te maken die dezelfde rechten heeft als de role groep Exchange Recipient Administrators plus de rechten om FullAcces weg te geven. Mijn vraag blijft nogsteeds welke rechten ik in AD moet geven, hier ben ik dan ook naar opzoek.

Ik zou de rechten helemaal niet willen geven aan de helpdesk, maar 1 of hooguit 2 mensen 'Full-Access' geven op een mailbox en die moeten bepalen wie er rechten krijgen op hun eigen mailbox.

Hier valt over te twisten, de ene organisatie heeft 300 exchange gebruikers en dan zijn enkele Exchange Organization Admins genoeg maar ik heb het over een organisatie met 6 vestigingen en zo'n 4000 gebruikers.
Vandaar dat we ook meer gedelegeerd controle willen toepassen en iets gespecificeerde rechten dan dat Exchange aan standaard rolgroepen heeft.

Het gaat er dus om dat de helpdesk FullAccess rechten op een mailbox kan weggeven aan de daarvoor bestemde gebruikers, niet dat de helpdesk op alle mailboxen FullAcces heeft.

Als ik een mailbox heb en ik ben eigenaar kan ik zelf bepalen wie er welke rechten krijgt tot mijn mailbox. Ik zou persoonlijk niet meerdere mensen 'Full-Access' rechten willen geven op een mailbox. Ook niet op een algemene mailbox. Dan word de manager/teamleider de owner van de mailbox en die mag bepalen wie er in mag of niet. Als je het op exchange niveau gaat doen is het over een jaar een zooitje.

Voor persoonlijke mailboxen wordt deze regel ook toegepast alleen je zal wel altijd een beheerder moeten aanstellen. En aangezien we ook nog in een migratie traject zitten waar soms mailboxen door dezelfde gebruiker uit 2 domeinen bereikt moet worden - wat meer uitzondering is dan regelmaat - is het soms noodzakelijk om het meteen te kunnen toepassen.
Anyway, we moeten roeien met de riemen die we hebben en soms work arounds volgen om de gebruikers tevreden te houden totdat we uit het migratie traject zijn.

Waarom wordt het een zooitje als je het op exchange niveau gaat doen? Je kan hier AD groups voor gebruiken en deze de FullAccess rights geven op de mailbox en in de AD group de beheerder(s) / gebruikers(s) in plaatsen.

Wat betreft de rechten geven is std exchange. Kan me niet voorstellen dat dit niet op inet te vinden is

Ook hoe je een extra rolgroep kan aanmaken? Nee, dat heb ik nog niet kunnen vinden. Natuurlijk vindt je hoe je een member aan een rolgroep toevoegd. Hier is zelfs een wizard voor en ook voor power shell zijn commando's.

Misschien zoek ik een manier die niet handig in de praktijk uitpakt maar wil graag een oplossing of goede workaround ervoor hebben.

ps. Heb jij ervaring met Exchange 2007? Hoe regel jij dan een algemene mailbox / vergaderruimte (resource mailbox)?