Exchange 2010 RBAC Part1

Hallo zusammen,

In Exchange 2010 werden die Berechtigungen nicht mehr über Active Directory ACL's vergeben, sondern die Berechtigungen werden auf den CMDlets vergeben.

• Understanding Role Based Access Control http://technet.microsoft.com/en-us/library/dd298183.aspx
• Understanding Management Role Groups http://technet.microsoft.com/en-us/library/dd638105.aspx
• Understanding Management Roles http://technet.microsoft.com/en-us/library/dd298116.aspx

Lassen wir uns mal die Built-In Management Roles anzeigen

Get-ManagementRole

Man kann sich auch anzeigen lassen, welche Management Roles das cmdlet "New-Mailbox" verwendet.

Get-ManagementRole -cmdlet New-Mailbox

Oder wir lassen uns anzeigen welche cmdlets in der Management Role "Mail Recipient Creation" den String "Mailbox" enthalten

Get-ManagementRoleEntry -Identity "Mail Recipient Creation\*Mailbox"

Wir können auch die Parameter des New-Mailbox cmdlets anzeigen lassen

Get-ManagementRoleEntry -Identity "Mail Recipient Creation\New-Mailbox" | select -expand parameters

Nun erzeugen wir eine eigene Management Rolle "ICE-RecipientCreationUser". Da man nur neue Management Rollen von bestehenden Rollen ableiten kann, muss die Parent Role angegeben werden

New-ManagementRole -Parent "Mail Recipient Creation" -Name ICE-RecipientCreationUser

Nun zeigen wir uns die neue Rolle, bzw. das darin enthaltene cmdlet New-Mailbox an

Get-ManagementRoleEntry -Identity "ICE-RecipientCreationUser\New-Mailbox" | fl

Nun lassen wir uns die Parameter von New-Mailbox anzeigen

Get-ManagementRoleEntry -Identity "ICE-RecipientCreationUser\New-Mailbox" | select -expand parameters

Nun werden die Parameter mit Set-ManagementRoleEntry nochmals eingefügt, aber ohne die Archive Parameter.

Set-ManagementRoleEntry -Identity "ICE-RecipientCreationUser\New-Mailbox" -Parameters AccountDisabled,ActiveSyncMailboxPolicy,Alias,Confirm,Database,Debug,DisplayName,DomainController,Equipment,ErrorAction,ErrorVariable,FirstName,Force,ImmutableId,Initials,LastName,LinkedCredential,LinkedDomainController,LinkedMasterAccount,ManagedFolderMailboxPolicy,ManagedFolderMailboxPolicyAllowed,ModeratedBy,ModerationEnabled,Name,Office,OrganizationalUnit,OutBuffer,OutVariable,Password,Phone,PrimarySmtpAddress,RemotePowerShellEnabled,ResetPasswordOnNextLogon,ResourceCapacity,RetentionPolicy,RoleAssignmentPolicy,Room,SamAccountName,SendModerationNotifications,Shared,SharingPolicy,ThrottlingPolicy,UserPrincipalName,Verbose,WarningAction,WarningVariable,WhatIf

Nun erzeugen wir eine neue RoleGroup in Exchange Control Panel (ECP)

Dort wählen wir die erstellte ManagementRole aus

Fügen die Mitglieder (User oder Gruppen) hinzu

Und legen auch gleich noch den Scope auf "corp.icewolf.ch/TestOU/Users" fest.

Und so sieht es aus, wenn es fertig ist.

Nun erzeugen wir ein neues Postfach - absichtlich in der OU ausserhalb des Scopes

Und legen fest, dass ein Archiv erstellt werden soll (den Paramenter haben wir ja vorher entfernt)

Volia - der Parameter "Archive" kann nicht verwendet werden.

Also legen wir fest, dass kein Archiv verwendet werden soll.

Nun kommt die Fehlermeldung, dass wir uns ausserhalb des Scopes versuchen die Mailbox anzulegen.

Nun korrigieren wir auch noch die OU in den erlaubten Scope.

Et voila - nun kann die Mailbox angelegt werden.