Beschreiben der RBAC-Berechtigungsoptionen in Exchange 2013

Die rollenbasierte Zugriffssteuerung, eine Funktion in Exchange Server 2013, bietet Administratoren die Möglichkeit, die Parameter und Cmdlets auszuwählen, auf die Endbenutzer zugreifen können. Das Berechtigungsmodell enthält die Aufgaben, die Endbenutzer ausführen können, die Berechtigungen, um zu entscheiden, wer diese Aufgaben ausführen kann und wo die Aufgaben innerhalb der Organisation ausgeführt werden können.

Nachdem Sie die Elemente der rollenbasierten Zugriffssteuerung (RBAC) und das Einschränken verfügbarer Cmdlets und Parameter mit benutzerdefinierten Verwaltungsrollen kennengelernt haben, müssen Sie wissen, wie Verwaltungsbereiche verwendet werden können, um den Bereich verfügbarer Cmdlets innerhalb zu begrenzen eine Organisation.

Mit Verwaltungsbereichen können Administratoren Cmdlets einschränken und nur den Betrieb für bestimmte Teile der Exchange-Organisation zulassen, hauptsächlich aus Sicht von Active Directory (AD). Administratoren können Grenzen auf der Ebene der Organisationseinheit oder des AD-Standorts festlegen. Grenzen können den Betrieb auch auf bestimmte Exchange-Server oder -Datenbanken beschränken. Diese werden als Konfigurationsbereiche bezeichnet, die von einem Verwaltungsbereich definiert werden Konfigurationsbereich lesen und Konfigurationsschreibbereich Eigenschaften. Wir können den Betrieb auch auf bestimmte Empfänger basierend auf ihren AD-Eigenschaften beschränken. Diese werden als Empfängerbereiche bezeichnet, die durch einen Verwaltungsbereich definiert werden Empfänger-Lesebereich und Schreibbereich des Empfängers Eigenschaften. Ein Lesebereich muss mindestens mit den Grenzen des Schreibbereichs übereinstimmen. Sie müssen lesen können, wo Sie schreiben möchten.

Implizite, explizite, relative und benutzerdefinierte Bereiche

Wenn Sie es in der RBAC-Serie so weit geschafft haben, haben Sie bereits eine Verwaltungsrolle “Benutzerfoto” erstellt, mit der die Verantwortlichen die ausführen können * –UserPhoto-Cmdlets. Beim Erstellen dieser Verwaltungsrolle haben wir E-Mail-Empfänger als übergeordnetes Element verwendet. In diesem Prozess erbt die neu erstellte Verwaltungsrolle die Bereichskonfiguration der übergeordneten Verwaltungsrolle. Diese geerbten Bereiche werden aufgerufen implizite Bereicheund sie sind in der gespeichert ImplicitRecipientReadScope, ImplicitRecipientWriteScope, ImplicitConfigReadScope und ImplicitConfigWriteScope Eigenschaften. Jeder bestimmt die Empfänger oder konfigurationsbasierten Lese- und Schreibbereiche.
Es ist wichtig, die Definitionen für implizite Bereiche zu kennen.

  • Organisation: Entspricht allen Empfängerobjekten in der Exchange-Organisation.
  • MyGAL: Entspricht allen Empfängern in der globalen Adressliste (GAL) des Empfängers und kann nur für Lesebereiche verwendet werden.
  • Selbst: Entspricht dem aktuellen Empfänger.
  • MyDistributionGroups: Entspricht den vom Verantwortlichen verwalteten Verteilergruppen.
  • OrganizationConfig: Entspricht den Exchange-Server- oder Exchange-Datenbanken in der aktuellen Organisation.
  • Keine: Blockiert einen Bereich, dh keinen Zugriff.

Eine andere Art von Bereich ist die expliziter Geltungsbereich, die den Mitgliedern von Rollen mit diesem exklusiven Gültigkeitsbereich Zugriff auf diese Objekte gewähren. Explizite Bereiche werden auf der Ebene der Zuweisung von Verwaltungsrollen definiert, wodurch konfigurierte implizite Bereiche in geerbten Verwaltungsrollen bestehen bleiben und explizit konfigurierte Ausnahmen berücksichtigt werden.
Verwenden Sie zum Erstellen von Zuweisungen für Verwaltungsrollen, die für bestimmte Empfänger gelten relative Bereiche für den Bevollmächtigten. Verwendung der RecipientRelativeWriteScope Eigenschaft kann man den Betrieb gegen die Organisation, Self oder MyDistributionGroups zulassen. Zum Beispiel, wenn eine Verwaltungsrolle das Ändern der UserPhoto Eigenschaft, Erstellen einer Verwaltungsrollenzuweisung mit dem RecipientRelativeWriteScope Wenn Sie auf “Selbst” eingestellt sind, können die Verantwortlichen ihr eigenes UserPhoto ändern.
Wenn die vordefinierten impliziten Bereiche die Anforderungen nicht erfüllen, erstellen Sie eine benutzerdefinierter Bereich für Managementrollenzuweisungen. Es gibt verschiedene Ebenen, um benutzerdefinierte Bereiche zu definieren.

  • OU: Verwenden Sie die RecipientOrganizationalUnitScope Eigentum.
  • Empfänger: Konfigurieren Sie die RecipientRestrictionFilter Eigenschaft eines Management Scope und weisen Sie es zu CustomRecipientWriteScope der Zuweisung von Managementrollen. Sie können eine verwenden OPATH Filter um Empfänger basierend auf Abteilung, Standort usw. anzusprechen. Darüber hinaus können Sie verwenden RecipientRoot (kanonische Form, z. B. contoso.com/NL), um einen alternativen Ausgangspunkt in AD zu definieren. Weitere Informationen zur Verwendung von OPATH-Filtern finden Sie hier Hier.
  • Server: Konfigurieren Sie die ServerRestrictionFilter Eigentum eines Management Scope. Sie können einen OPATH-Filter verwenden, um auf bestimmte Exchange-Server abzuzielen. Alternativ können Sie den ServerList-Parameter verwenden, um Exchange-Server direkt auszuwählen.
  • Datenbanken: Konfigurieren Sie die DatabaseRestrictionFilter Eigentum eines Management Scope. Sie können einen OPATH-Filter verwenden, um auf bestimmte Exchange-Datenbanken abzuzielen. Alternativ können Sie die verwenden Datenbankliste Parameter zum direkten Auswählen von Datenbanken.

Bereiche in die Tat umsetzen

Definieren wir beispielsweise einen Verwaltungsbereich, der Mitglieder eines Gruppen-VIP umfasst, die in oder unter einer Organisationseinheit (OU) mit dem Namen “BR” wohnen. Stellen Sie sicher, dass Sie den vollständigen definierten Namen für den Gruppennamen verwenden:
New-ManagementScope –Name 'BR-Empfänger' –RecipientRoot 'contoso.com/BR' –RecipientRestrictionFilter {MemberOfGroup –eq 'CN = VIP, CN = Benutzer, DC = contoso, DC = com'}
Sie können auch einen Bereich erstellen, der alle Konfigurationsobjekte in einer Site enthält. Geben Sie den vollständigen definierten Namen des AD Site-Objekts an:
New-ManagementScope –Name 'Site GRU' –ServerRestrictonFilter {ServerSite –eq 'CN = GRU, CN = Sites, CN = Konfiguration, DC = contoso, DC = com'}
Eine grundlegendere Methode zum Filtern ist die direkte Angabe von Servernamen mithilfe von DatabaseList oder ServerList:
New-ManagementScope –Name 'Server BR' –ServerList BREX01, BREX02
Sie können den Platzhalterabgleich in OPATH-Filtern verwenden:
New-ManagementScope –Name 'BR-Datenbanken' –DatabaseRestrictionFilter {Name –wie 'BR- *'}
Verwenden Sie Folgendes, um den Bereich “BR-Empfänger” einer Gruppe mit dem Namen “GlobalPhotoAdmins” zuzuweisen:
New-ManagementRoleAssignment –SecurityGroup 'GlobalPhotoAdmins' –Role 'User Photo' –CustomRecipientWriteScope 'BR Recipients'
Dies führt dazu, dass Mitglieder von GlobalPhotoAdmins verwenden können * -UserPhoto Cmdlets, die durch Zuweisen der Verwaltungsrolle “Benutzerfoto” gewährt wurden. Dies schließt die Einschränkung ein, dass dies nur für Mitglieder der VIP-Gruppe möglich ist, die sich in oder unter der BR-Organisationseinheit der obersten Ebene befindet, die im Verwaltungsbereich “BR-Empfänger” definiert ist.
Wir haben exklusive Bereiche erwähnt und wie sie exklusiven Zugriff auf Empfänger oder Konfigurationsobjekte ermöglichen können. Wenn Sie beispielsweise einen exklusiven Empfängerbereich für eine Organisationseinheit der obersten Ebene mit dem Namen “BR / Executives” erstellen, die Mitglieder einer Gruppe mit dem Namen “VIP” sind, und diesen Bereich in einer Zuweisung von Verwaltungsrollen verwenden, werden alle anderen Zuweisungen ausgeführt Zugriff für diese Empfänger verweigert.
Sie erstellen einen exklusiven Bereich, indem Sie den exklusiven Schalter angeben:
New-ManagementScope –Name 'Executive BR-Empfänger' –RecipientRoot 'contoso.com/BR/Executives' –RecipientRestrictionFilter {MemberOfGroup –eq 'CN = VIP, CN = Benutzer, DC = contoso, DC = com'} - Exklusiv
In diesem Beispiel weisen wir diesen exklusiven Verwaltungsbereich einer Gruppe mit dem Namen “Exec Photo Admins” zu:
New-ManagementRoleAssignment –SecurityGroup 'ExecPhotoAdmins' –Role 'User Photo' –ExclusiveRecipientWriteScope 'Executive BR Recipients'
Nur Mitglieder von ExecPhotoAdmins können ausschließlich Postfachempfänger in und unter konfigurieren OU = Executives, OU = BR, DC = contoso, DC = com Verwenden der Optionen, die ihnen über Benutzerfoto zur Verfügung gestellt werden. GlobalPhotoAdmins-Mitglieder können dies nicht, obwohl sie diese Berechtigungen in der OU BR der obersten Ebene und darunter konfiguriert haben (Abbildung 1).

Dies ist ein Beispiel für eine Möglichkeit, Management Scopes für Ihr Unternehmen in die Tat umzusetzen.

Beachten Sie, dass die Verwaltungsbereiche statisch sind. Wenn Sie die Eigenschaften der Elemente umbenennen, die Sie in Ihren Bereichen verwenden, oder Objekte verschieben, müssen Sie möglicherweise alle zugehörigen Verwaltungsbereiche entsprechend aktualisieren. Beispielsweise müssen Sie nach dem Verschieben einer Organisationseinheit oder dem Umbenennen eines Site-Objekts ein Update durchführen.
Über den Autor:
Michel de Rooij ist ein Berater und Exchange MVP aus den Niederlanden. Michel begann ursprünglich 1994 als Entwickler, wechselte jedoch schnell zu infrastrukturbezogenen Projekten und konzentrierte sich 2004 auf Exchange, wobei er eine Reihe von Bereichen abdeckte, darunter Migrationen, Übergänge, Konsolidierung und Entflechtung. Neben Exchange sind Michel auch PowerShell, Active Directory, Lync und Messaging im Allgemeinen von Interesse. Michel ist Mitwirkender am Podcast theucarchitects.com von The UC Architects und an Blogs über Exchange und verwandte Themen unter Eightwone.com.

Similar Posts

Leave a Reply