Exchange 2010 Role Based Access Control (RBAC)

Hallo zusammen,

In Exchange 2010 gibt es eine neue Berechtigungsverwaltung. Diese nennt sich Role Based Access Control (RBAC). Dabei werden einzelne Rechte zu Rollen zusammengefasst und diese Benutzern oder Gruppen zugewiesen. Dabei kann man noch Einschrnkungen auf den Schreibbereich (Scope) machen. Bei diesen Einschrnkungen kann es sich entweder um eine OU oder (LDAP) Filter setzen.

1) User oder Gruppe wird die Rolle direkt zugewiesen

Esgibtetwa 70ManagementRollen, welche bestimmte Tasks beinhalten. http://technet.microsoft.com/en-us/library/dd638077.aspx

Get-ManagementRole

Die Rollen knne durch das Cmdlet "New-ManagementRoleAssignment" Benutzern oder Gruppen zugewiesen werden. http://technet.microsoft.com/en-us/library/dd335193.aspx. Man sieht, dass der RoleAssigneeType "User" oder "SecurityGroup" festgelegt wurde.

New-ManagementRoleAssignment -Role "Distribution Groups" -User h.muster
New-ManagementRoleAssignment -Role "Distribution Groups" -SecurityGroup G-MyHelpdesk

Get-ManagementRoleAssignment -Identity Distrib*

Wenn der Bereich der Berechtigung eingeschrnkt werden sollte, dann kann man dies mit ManagementScope machen http://technet.microsoft.com/en-us/library/dd335137.aspx. Diese Einschrnkung kann ganz viele verschiedene Filter anwenden, wie z.B. nur bestimmte Typen (Mailbox,Contact),AD Attributen in einer bestimmten OU. Filterable Properties http://technet.microsoft.com/en-us/library/bb738155.aspx

Get-ManagementScope
New-ManagementScope -Name "EastOU Mailbox" -RecipientRoot EastOU -RecipientRestrictionFilter {(RecipientType -eq 'UserMailbox')}
New-ManagementScope -Name "EastOU Contact" -RecipientRoot EastOU -RecipientRestrictionFilter {(RecipientType -eq 'MailContact')}
New-ManagementScope -Name "EastOU All" -RecipientRoot EastOU -RecipientRestrictionFilter { RecipientType -eq '*' }

New-ManagementRoleAssignment -Role "Distribution Groups" -SecurityGroup G-MyHelpdesk -RecipientOrganizationalUnitScope destination.internal/EastOU
New-ManagementRoleAssignment -Role "Distribution Groups" -SecurityGroup G-MyHelpdesk -CustomRecipientWriteScope "EastOU Contact"

2) User oder Gruppe wirdmit einer RolleGroup verknpft und dieser die Rolle zugewiesen

Dies sind die Built-In Role Groups

Mit dem New-RoleGroup CMDlet knnen neue AdministratorRollen angelegt werden. http://technet.microsoft.com/en-us/library/dd638181.aspx

New-RoleGroup DST-Helpdesk-Groups -Role "Distribution Groups"
Add-RoleGroupMember -Identity DST-Helpdesk-Groups -Member h.muster
Add-RoleGroupMember -Identity DST-Helpdesk-Groups -Member G-MyHelpdesk

RoleGroups werden als UniversalGroups im AD Container "Microsoft Exchange Security Groups" angelegt.

Die Members wurden ja ber die EMS hinzugefgt.

Details der Gruppe kann mit folgendem Befehl angeschaut werden

Get-ManagementRoleAssignment -RoleAssignee DST-Helpdesk-Groups | fl

Und so sieht das ganze dann im Exchange Control Panel (ECP) aus.

Dies ist sicherlich nur ein kleiner Einblick in die Rollenverwaltung von Exchange 2010. Ich empfehle euch selbst noch ein bisschen damit auseinanderzusetzen.

Grsse
Andres Bohren