Exchange 2010 Role Based Access Control (RBAC)
Hallo zusammen,
In Exchange 2010 gibt es eine neue Berechtigungsverwaltung. Diese nennt sich Role Based Access Control (RBAC). Dabei werden einzelne Rechte zu Rollen zusammengefasst und diese Benutzern oder Gruppen zugewiesen. Dabei kann man noch Einschränkungen auf den Schreibbereich (Scope) machen. Bei diesen Einschränkungen kann es sich entweder um eine OU oder (LDAP) Filter setzen.
1) User oder Gruppe wird die Rolle direkt zugewiesen
Es gibt etwa 70 ManagementRollen, welche bestimmte Tasks beinhalten. http://technet.microsoft.com/en-us/library/dd638077.aspx
Get-ManagementRole
Die Rollen könne durch das Cmdlet "New-ManagementRoleAssignment" Benutzern oder Gruppen zugewiesen werden. http://technet.microsoft.com/en-us/library/dd335193.aspx. Man sieht, dass der RoleAssigneeType "User" oder "SecurityGroup" festgelegt wurde.
New-ManagementRoleAssignment -Role "Distribution Groups" -User h.muster
New-ManagementRoleAssignment -Role "Distribution Groups" -SecurityGroup G-MyHelpdesk
Get-ManagementRoleAssignment -Identity Distrib*
Wenn der Bereich der Berechtigung eingeschränkt werden sollte, dann kann man dies mit ManagementScope machen http://technet.microsoft.com/en-us/library/dd335137.aspx. Diese Einschränkung kann ganz viele verschiedene Filter anwenden, wie z.B. nur bestimmte Typen (Mailbox,Contact), AD Attributen in einer bestimmten OU. Filterable Properties http://technet.microsoft.com/en-us/library/bb738155.aspx
Get-ManagementScope
New-ManagementScope -Name "EastOU Mailbox" -RecipientRoot EastOU -RecipientRestrictionFilter {(RecipientType -eq 'UserMailbox')}
New-ManagementScope -Name "EastOU Contact" -RecipientRoot EastOU -RecipientRestrictionFilter {(RecipientType -eq 'MailContact')}
New-ManagementScope -Name "EastOU All" -RecipientRoot EastOU -RecipientRestrictionFilter { RecipientType -eq '*' }
New-ManagementRoleAssignment -Role "Distribution Groups" -SecurityGroup G-MyHelpdesk -RecipientOrganizationalUnitScope destination.internal/EastOU
New-ManagementRoleAssignment -Role "Distribution Groups" -SecurityGroup G-MyHelpdesk -CustomRecipientWriteScope "EastOU Contact"
2) User oder Gruppe wird mit einer RolleGroup verknüpft und dieser die Rolle zugewiesen
Dies sind die Built-In Role Groups
Mit dem New-RoleGroup CMDlet können neue AdministratorRollen angelegt werden. http://technet.microsoft.com/en-us/library/dd638181.aspx
New-RoleGroup DST-Helpdesk-Groups -Role "Distribution Groups"
Add-RoleGroupMember -Identity DST-Helpdesk-Groups -Member h.muster
Add-RoleGroupMember -Identity DST-Helpdesk-Groups -Member G-MyHelpdesk
RoleGroups werden als UniversalGroups im AD Container "Microsoft Exchange Security Groups" angelegt.
Die Members wurden ja über die EMS hinzugefügt.
Details der Gruppe kann mit folgendem Befehl angeschaut werden
Get-ManagementRoleAssignment -RoleAssignee DST-Helpdesk-Groups | fl
Und so sieht das ganze dann im Exchange Control Panel (ECP) aus.
Dies ist sicherlich nur ein kleiner Einblick in die Rollenverwaltung von Exchange 2010. Ich empfehle euch selbst noch ein bisschen damit auseinanderzusetzen.
