Согласно рекомендациям лучших собаководов при внедрении cross-forest сценария, когда мы условно растягиваем почтовую организацию на 2 леса каждый получатель будет представлен в виде двух объектов. В одном лесе он будет обладать полноценным ящиком, в другом лесе для него будет создан объект Mail Enabled User (или Contact, если ящик мигрировать из леса в лес не планируется). В последний рекомендуется копировать пачку атрибутов из объекта, который обладает почтовым ящиком. Примерный список атрибутов для такого копирования можно подсмотреть, например тут и тут.
Если следовать рекомендациям лучших собаководов, то делегирование между лесами не взлетит, потому что они не упоминают о нескольких атрибутах, которые должны быть правильно заполнены в MEU, для того, чтобы заработало делегирование. Вот этот список:
- mAPIRecipient = TRUE
- msExchMasterAccountSID = objectSID from Mailbox
- msExchOriginatingForest = Target Forest FQDN
- msExchRecipientDisplayType = –1073741818
- proxyAddresses = X500: + LegacyExchangeDN from Mailbox; existing addresses
Это позволит пользователю с ящиком одного леса назначать права на свой ящик (делегировать доступ) объекту MEU, который связан с почтовым ящиком из другого леса. Это позволит почтовому ящику из другого леса получить доступ к тем ресурсам, на которые ему выдал права пользователь из первого леса.
Полезные ссылки:
Deploy Exchange 2013 in a cross-forest topology
Prepare mailboxes for cross-forest move requests
Prepare mailboxes for cross-forest moves using the Exchange Management Shell
Exchange Server 2010 Cross Forest Delegation
[TUTORIEL]: Partage entre Organisations Exchange (partie 2: coexistence “riche”)
Cross Forest Exchange Impersonation – where the rubber meets the road