Moin!
Ich glaube ich habe das was merkwürdiges ausgegraben.
Auf unserem Exchange-System werden die Mailboxen mehrerer Unternehmen gehostet. Ein Teil dieser Unternehmen administriert teilweise selber, d.h. legen Mailboxen, Kontakte und Verteilerlisten selber an und pflegen diese. Damit das sauber getrennt von anderen Unternehmen funktioniert, sind diese untereinander in verschiedenen Organisationseinheiten (OU) untergebracht, für die "Konter-Admins" spezielle Rollen definiert (wobei alles weggelassen wurde was diese nicht für ihre Aufgaben benötigen bzw. verwenden sollen) und diese Rollen mit Managementscopes auf die OU des jeweiligen Unternehmens begrenzt.
Das funktioniert auch ganz gut (mit der Einschränkung daß es keine Read-Scopes gibt und daher alle Unternehmen alle Mailboxen sehen können (via get-mailbox)).
Jetzt möchte eine Firma Mailboxen mit new-mailboximportrequest/new-mailboxexportrequest bearbeiten. Ich habe daher dafür auch wieder eine Rolle definiert, diese mit einem Scope auf die OU des Unternehmens begrenzt und ... muß staunen:
Trotz Scope kann diese Firma systemweit (!) Mailboxen exportieren und importieren! Es ist problemlos möglich auch für Mailboxen außerhalb des definierten Scopes Export oder Import anzustoßen. Man kann zwar nicht danach schauen (z.B. get-mailboximportrequeststatistics) oder diese entfernen (remove-mailboximportrequest) - aber die Imports/Exports laufen korrekt durch.
Meine bescheidene Meinung: da es keine Read-Scopes gibt kann man grundsätzlich erst mal alle Mailboxen sehen bzw. anzeigen (get-mailbox). Auf dieser Basis schiebt new-mailboximportrequest bzw. new-exportrequest den MRS an der dann die eigentliche Arbeit macht - und der sich natürlich nicht um irgendwelche Scopes kümmert. Die cmdlets (new-mailbox....request) scheinen die Scopes zu ignorieren.
Ich habe das mal bei Microsoft eingetütet. Mal schauen was dabei rauskommt.
Grüße
Rolf