最近一个用户提到一个问题，他们不想让用户自己创建组的权限，可能有些朋友知道是如下操作：

直接将MY Distributiongroups  的勾去掉！我们就能够将用户创建组的权限去掉即可。但是有些用户可能不太清楚其他的勾的用途，将这些勾全部去掉，结果造成什么呢？结果所有用户都登陆不了ECP，这不能不说是一个杯具啊。

怎么办呢？如果administrator 本身的ECP也无法打开了，这是很痛苦的事情了！

其实解决方法不是没有，而是可以让administrator 先行登陆，现在他链接不到ECP了，那他如何登录到呢？这里面涉及到一个操作，我们必须将默认的assignment 修改才可以，批量的新建一个ASSIGNMENT 然后再赋予用户，这样产生的变更太大，也不太现实。

 

因此我们只需要给administrator 赋予相关的权限，然后定义出administrator 权限，再让管理员修改默认的策略，这样就最少的进行了用户变更。

操作步骤如下：

1. 我们查看目前的ASSIGNMENT，发现根本没有任何权限，这是导致没有权限的根本原因：

 

2.打开Exchange Powershell,然后我们新建一个assgnment,Assignment 定义如下的角色：

3.执行完成后，我们发现权限已经加进去了：

4. 我们需要为administrator 用户添加相应的角色策略。执行命令如下：

5.执行完成后，我们打开administrator 的管理控制台，发现可以进去了：

6. 我们在这个图上选择管理我得组织，修改Default roleassignmentpolicy：

8.将相应的地方勾选上就差不多OK了，我们再次打开就能够开启ECP了@！