起因 ：

系统预定义的角色“Mail Recipient Creation”给的权限太大，在RBAC模式下，除了创建还能删除，为了严格控制权限分配，并为了不做Ad的权限拆分的要求下，

解决思路：

对“Mail Recipient Creation”所包含的管理条目做删除，剔除删除类权限

实际操作：

1、新建一个角色001，默认管理条目 same “Mail Recipient Creation”

New-ManagementRole -Parent "Mail Recipient Creation" -Name "001"

2、检查下001包含的条目

Get-ManagementRoleEntry 001\*

3、剔除“删邮箱”的权限

Remove-ManagementRoleEntry "001\remove-mailbox"

4、继续剔除其他 remove条目

可以用Get-ManagementRoleEntry "001\*remove*" | Remove-ManagementRoleEntry -WhatIf

批量剔除，记得whatif的检查开关去掉

5、在EAC中  给你的管理员设定角色属性“001”，其他角色看着给。

Ps：管理条目视需求保留。

本文出自 “杂货铺-杂乱又懒的记载啥” 博客，请务必保留此出处http://windkill.blog.51cto.com/616131/1584029

exchange 管理员只有创建新用户无删除的权限设定方法