blog.icewolf.ch

Let's talk about IT!
posts - 1317, comments - 295, trackbacks - 0

My Links

Archives

Post Categories

icewolf

Exchange 2010 Role Based Access Control (RBAC)

Hallo zusammen,

In Exchange 2010 gibt es eine neue Berechtigungsverwaltung. Diese nennt sich Role Based Access Control (RBAC). Dabei werden einzelne Rechte zu Rollen zusammengefasst und diese Benutzern oder Gruppen zugewiesen. Dabei kann man noch Einschränkungen auf den Schreibbereich (Scope) machen. Bei diesen Einschränkungen kann es sich entweder um eine OU oder (LDAP) Filter setzen.

1) User oder Gruppe wird die Rolle direkt zugewiesen

Es gibt etwa 70 ManagementRollen, welche bestimmte Tasks beinhalten. http://technet.microsoft.com/en-us/library/dd638077.aspx

Get-ManagementRole

Die Rollen könne durch das Cmdlet "New-ManagementRoleAssignment" Benutzern oder Gruppen zugewiesen werden. http://technet.microsoft.com/en-us/library/dd335193.aspx. Man sieht, dass der RoleAssigneeType "User" oder "SecurityGroup" festgelegt wurde.

New-ManagementRoleAssignment -Role "Distribution Groups" -User h.muster
New-ManagementRoleAssignment -Role "Distribution Groups" -SecurityGroup G-MyHelpdesk

Get-ManagementRoleAssignment -Identity Distrib*

Wenn der Bereich der Berechtigung eingeschränkt werden sollte, dann kann man dies mit ManagementScope machen http://technet.microsoft.com/en-us/library/dd335137.aspx. Diese Einschränkung kann ganz viele verschiedene Filter anwenden, wie z.B. nur bestimmte Typen (Mailbox,Contact), AD Attributen in einer bestimmten OU. Filterable Properties http://technet.microsoft.com/en-us/library/bb738155.aspx

Get-ManagementScope
New-ManagementScope -Name "EastOU Mailbox" -RecipientRoot EastOU -RecipientRestrictionFilter {(RecipientType -eq 'UserMailbox')}
New-ManagementScope -Name "EastOU Contact" -RecipientRoot EastOU -RecipientRestrictionFilter {(RecipientType -eq 'MailContact')}
New-ManagementScope -Name "EastOU All" -RecipientRoot EastOU -RecipientRestrictionFilter { RecipientType -eq '*' }

New-ManagementRoleAssignment -Role "Distribution Groups" -SecurityGroup G-MyHelpdesk -RecipientOrganizationalUnitScope destination.internal/EastOU
New-ManagementRoleAssignment -Role "Distribution Groups" -SecurityGroup G-MyHelpdesk -CustomRecipientWriteScope "EastOU Contact"

2) User oder Gruppe wird mit einer  RolleGroup verknüpft und dieser die Rolle zugewiesen

Dies sind die Built-In Role Groups

Mit dem New-RoleGroup CMDlet können neue AdministratorRollen angelegt werden. http://technet.microsoft.com/en-us/library/dd638181.aspx

New-RoleGroup DST-Helpdesk-Groups -Role "Distribution Groups"
Add-RoleGroupMember -Identity DST-Helpdesk-Groups -Member h.muster
Add-RoleGroupMember -Identity DST-Helpdesk-Groups -Member G-MyHelpdesk

RoleGroups werden als UniversalGroups im AD Container "Microsoft Exchange Security Groups" angelegt.

Die Members wurden ja über die EMS hinzugefügt.

Details der Gruppe kann mit folgendem Befehl angeschaut werden

Get-ManagementRoleAssignment -RoleAssignee DST-Helpdesk-Groups | fl

Und so sieht das ganze dann im Exchange Control Panel (ECP) aus.

Dies ist sicherlich nur ein kleiner Einblick in die Rollenverwaltung von Exchange 2010. Ich empfehle euch selbst noch ein bisschen damit auseinanderzusetzen.

Grüsse
Andres Bohren

Print | posted on Tuesday, August 31, 2010 12:24 AM | Filed Under [ Exchange ]

Powered by:
Powered By Subtext Powered By ASP.NET