Предоставление ограниченных по OU прав администратора для чтения и записи на локальном сервере Exchange Server 2016

Я успешно создал ограниченную роль управления и назначил ей пользователя, который позволяет младшему администратору только две вещи через веб-страницу ECP:

- Сброс паролей в конкретном оргструктуре

- создавать новых пользователей в том же

С правами на запись проблем нет: вы просто выбираете область действия. Однако они действительно не должны видеть данные AD (пользователи, группы) для любого другого подразделения. Но когда они входят в систему, появляется весь мир.

Все, что я прочитал, кажется, не дает гибкости области чтения - что оно должно быть неявным и включать всю организацию: https://technet.microsoft.com/en-us/library/dd335146(v=exchg.150).aspx

Я знаю, что это иррациональное ограничение, и есть способ делать то, что я хочу, и что он будет гораздо более сложным, чем я когда-либо хотел, но это возможно, поэтому я надеялся, что меня укажут в правильном направлении.

ОБНОВЛЕНИЕ Похоже, что это невозможно: https://social.technet.microsoft.com/Forums/exchange/en-US/a063a190-89a4-4611-aa8d-772ab5a832f7/exchange-2013-rbac-read-scope?forum=exchangesvradmin&prof=required но это просто очень удивительно.