Vereinfachung der RBAC-Verwaltung in Exchange Server 2010

Die rollenbasierte Zugriffssteuerung, das neue Berechtigungsverwaltungsmodell in Exchange Server 2010, wird mithilfe der Exchange-Verwaltungsshell verwaltet. Das Konzept von RBAC ist theoretisch einfach; Die Berechtigungen basieren auf PowerShell. Der Übergang von den integrierten Einstellungen, die Rollengruppen und Rollen bereitstellen, zu einer detaillierteren Methode erfordert jedoch mehr als das, was über die Exchange-Verwaltungsshell (EMS) möglich ist.

RBAC enthält neun integrierte Rollengruppen, einschließlich der Rollengruppe Discovery Management. Wenn Sie einem Benutzer die Berechtigung erteilen möchten, Erkennungssuchen durchzuführen und das Postfach eines anderen Benutzers beispielsweise in die legale Warteschleife zu stellen, fügen Sie diesen Benutzer der Rollengruppe “Erkennungsverwaltung” hinzu.

Jede Rollengruppe enthält mehrere Rollen, und insgesamt gibt es 65 verschiedene Rollen. Der Rollengruppe “Discovery Management” sind beispielsweise zwei Rollen zugewiesen: die Rolle “Postfachsuche” und die Rolle “Legal Hold”. Einträge in diesen Rollen basieren auf PowerShell.

Bestimmte Cmdlets und Parameter, die jeder Rolle zugewiesen sind, geben einem Benutzer mit Rollenberechtigungen die Möglichkeit, EMS, die Exchange-Verwaltungskonsole oder die Exchange-Systemsteuerung zu verwenden. Auf diese Weise kann der Benutzer PowerShell-Aufgaben hinter den Kulissen über Cmdlets und Parameter ausführen.

Obwohl es einfach ist, die neun Rollengruppen und Definitionen für jede Gruppe zu finden und die 65 Rollen und ihre Definitionen noch einfacher zu finden, kann es schwierig sein, Einträge zu finden, die zu diesen Rollen gehören.

Das Auffinden der Rollen und Rollengruppen ist wichtig, da Standardrollengruppen und -rollen umfangreicher sind als ältere Exchange-Berechtigungsoptionen. Sie können benutzerdefinierte Rollen und Rollengruppen erstellen, indem Sie eine vorhandene Rolle als übergeordnete Rolle verwenden und die Berechtigungen, die Sie zum Ändern benötigen, mithilfe einer untergeordneten Rolle entfernen. Die Einschränkung ist, dass eine untergeordnete Rolle nicht mehr Berechtigungen als ihre übergeordnete Rolle haben kann.

Dies führt zu Problemen, wenn Sie nicht wissen, mit welchen Berechtigungen Sie beginnen – nämlich den Cmdlets und Parametern selbst – und die Rolle oder deren Funktionsweise nicht verstehen. In diesem Fall haben Sie Schwierigkeiten, neue Rollen zu erstellen. Leider besteht die Hauptmethode zum Abrufen dieser Informationen darin, verschiedene PowerShell-Befehle zu verwenden, um die Verwaltungsrolleneinträge jeder Rolle zu suchen.

Die Tools, die Sie für die Arbeit mit RBAC benötigen
Bei der Suche nach einem Tool für die Arbeit mit RBAC habe ich ein gefunden Excel Tabelle Dadurch werden Rollengruppen, Rollen und Rolleneinträge für Exchange Server 2010 RTM und Exchange 2010 SP1 zugeordnet (Abbildung 1). Die Tabelle verwendet eine Sortier- und Filterstruktur, mit der Sie leicht finden, wonach Sie suchen.

Excel-Tabelle mit allen RBAC-Rollen, -Gruppen und -Einträgen
Abbildung 1. In der Excel-Tabelle werden RBAC-Rollengruppen, Rollen und Einträge (Role Based Access Control) zugeordnet.

Die Tabelle hat etwas geholfen, aber ich wollte Informationen, die auf die Parameterebene heruntergebohrt wurden. Sie könnten fragen: “Wenn Sie die Cmdlets kennen, können Sie nicht nach ihren Parametern suchen?” Die Antwort lautet leider nein, da die Rollen nicht bis zu dieser Ebene konfiguriert sind.

Als Microsoft RBAC und seine Einträge entwarf; Sie enthielten nicht nur ein paar Cmdlets. Sie dachten über den Zweck der Rolle nach und darüber, was Benutzer mit diesem Cmdlet tun müssten. Deshalb haben sie nur bestimmte Parameter veröffentlicht.

Ich habe mich mit meinem Problem an das Exchange-Team gewandt und sie haben mir eine gegeben CodePlex-Link mit dem RBAC Manager-Tool (Abbildung 2).

Der RBAC-Manager listet alle Rollen, Zuweisungen und mehr auf
Abbildung 2. Der RBAC-Manager listet alle Verwaltungsrollen, Rollenzuweisungen und zusätzlichen Informationen auf.

Nach der Installation des RBAC-Managers konnte ich alle Rollengruppen, Verwaltungsrollen, Rollenzuweisungen und Rolleneinträge sowie Cmdlets und Parameter anzeigen. Bei weiterer Prüfung wurde mir klar, dass dieses Tool noch einen Schritt weiter ging.

Mit dem Tool konnte ich RBAC im Gegensatz zum EMS über eine GUI konfigurieren. Meiner Meinung nach ist dies ein Homerun für jeden Administrator, der versucht hat, in Exchange Server 2010 eine Befehlszeilen-RBAC auszuführen.

Für ein Videoüberprüfung dieser ToolsSchauen Sie sich das kostenlose Video an, das ich im Rahmen eines Exchange 2010-Schulungskurses für Design und Bereitstellung erstellt habe.

J. Peter Bruzzese (Triple-MCSE, MCT, MCITP: Messaging) ist ein Microsoft MVP, der Enterprise Windows-Kolumnist für InfoWorld und der Exchange 2010-Kursleiter für Train Signal. Er ist der Geist dahinter ExclusivelyExchange.com. Sie können ihn erreichen unter [email protected].

Similar Posts

Leave a Reply