Wie Exchange RBAC Ihnen beim Festlegen zulässiger Aufgaben hilft

Die rollenbasierte Zugriffssteuerung ist eine Funktion in Exchange 2013, mit der Administratoren bestimmen können, welche Cmdlets und Parameter ihren Endbenutzern zur Verfügung stehen. Das Verwaltungstool verwendet ein Berechtigungsmodell, das drei Säulen enthält: die Arten von Aufgaben, die Endbenutzer ausführen dürfen, Berechtigungen dafür, wer diese Aufgaben ausführen kann und wo innerhalb der Organisation die Aufgaben ausgeführt werden können.

Admins kennenlernen Rollenbasierte Zugriffssteuerung (RBAC), lassen Sie uns tiefer in die erste Säule eintauchen: Definieren, welche Befehle jemand verwenden darf und welche Aufgaben jemand in einem Exchange-Ökosystem ausführen kann, wenn er diese Befehle in einem größeren Kontext betrachtet.

In Exchange RBAC bestimmt die Fähigkeit, Cmdlets in Kombination mit bestimmten Parametern auszuführen, die Fähigkeiten eines Administrators. Das Exchange-Verwaltungscenter (Exchange Administrative Center, EAC) baut auf diesem Modell auf und ermöglicht aufgrund seiner Dynamik nur den Zugriff auf die von RBAC gewährten Funktionen. Jede Kombination zulässiger Cmdlets und Parameter wird in einem Verwaltungsrolleneintrag definiert. Eine Menge von Einträge für Verwaltungsrollen können einer Verwaltungsrolle zugeordnet werden, und diese Verwaltungsrollen können wiederum Endbenutzern oder Gruppen zugewiesen werden.

Schauen wir uns zum Beispiel die integrierte Verwaltungsrolle “UM-Eingabeaufforderungen” an, mit der die Verwaltung von delegiert wird Unified Messaging Sprachansagen. Wenn Sie alle definierten Verwaltungsrollen anzeigen möchten, verwenden Sie die Get-ManagementRole Befehl. Verwenden Sie, um die lange Liste aller definierten Verwaltungsrolleneinträge anzuzeigen Get-ManagementRoleEntry –Identity ‘* *’.

Um die Definition der Verwaltungsrolle ‘UM-Eingabeaufforderungen’ in Bezug auf Cmdlets und Parameter anzuzeigen, können Sie diesen Befehl verwenden, um diese Informationen zu finden (Abbildung 1):

Get-ManagementRole -Identity ‘UM-Eingabeaufforderungen’ | Get-ManagementRoleEntry | Wählen Sie Name, Parameter | fl

UM Fordert das Cmdlet auf
Abbildung 1. Dies ist ein Beispiel für ein Ergebnis, das möglicherweise angezeigt wird, wenn Sie ein bestimmtes Cmdlet verwenden, um die Definition der Verwaltungsrolle “UM-Eingabeaufforderungen” anzuzeigen.

Diese Verwaltungsrolle enthält 10 Cmdlets mit jeweils eigenen Parametern. Diese Parameter können eine Teilmenge dessen sein, was normalerweise verfügbar wäre. Beachten Sie, dass für jeden Einstellen-* Cmdlet, das verwandte Erhalten-* Cmdlet sollte ebenfalls enthalten sein; Dies liegt daran, dass die meisten Cmdlets und die EAC in der Lage sein müssen, die Eigenschaften zu lesen, bevor Sie diese Eigenschaften festlegen können.

Wir können auch unsere eigene Managementrolle mit einem eigenen Satz von erstellen Einträge für Verwaltungsrollen. In diesem Beispiel erstellen wir eine Verwaltungsrolle, um die Einstellung von Benutzerfotos über die zu ermöglichen UserPhoto Parameter. Wir können in Exchange RBAC keine Rolle von Grund auf neu erstellen. Wir müssen es auf eine sogenannte übergeordnete Rolle stützen, wonach wir alle unnötigen Cmdlets und Parameter entfernen und neue hinzufügen. Da dies mit “E-Mail-Empfänger” vergleichbar ist, das zum Verwalten von E-Mail-Empfängern verwendet wird, wählen wir Folgendes aus:

New-ManagementRole -Name ‘Benutzerfoto’ -Beschreibung ‘Mit dieser Rolle können Administratoren Benutzerfotos verwalten’ -Parent ‘E-Mail-Empfänger’

Wir haben jetzt eine neue Rolle erstellt, die dieselben Verwaltungsrolleneinträge wie die übergeordnete Rolle enthält. Um zu sehen, ob die * -UserPhoto Cmdlets sind bereits Teil der Verwaltungsrolleneinträge. Wir können Folgendes verwenden:

Get-ManagementRole -Identity ‘Benutzerfoto’ | Get-ManagementRoleEntry | Wobei {$ _. Name-like ‘* -UserPhoto’}

Wir gehen davon aus, dass sie Teil der Einträge in unserem Beispiel sind, daher müssen wir alle anderen Cmdlets aus dieser Verwaltungsrolle entfernen. Neben dem * -UserPhoto Cmdlets müssen wir auch behalten Set-ADServerSettings und der Get-ADServerSettings Cmdlets, da diese während der Initialisierung der EAC verwendet werden. All dies können wir erreichen, indem wir alle Verwaltungsrolleneinträge von ‘Benutzerfoto’ weiterleiten und diejenigen entfernen, an denen wir nicht interessiert sind, indem wir sie verwenden Remove-ManagementRoleEntry::

Get-ManagementRole -Identity ‘Benutzerfoto’ | Get-ManagementRoleEntry | Wobei {$ _. Name -notlike ‘* -UserPhoto’ -und $ _. Name -notlike ‘* -ADServerSettings’} | Remove-ManagementRoleEntry

Stellen Sie schließlich sicher, dass die richtigen Cmdlets beibehalten wurden (Abbildung 2):

Get-ManagementRole -Identity ‘Benutzerfoto’ | Get-ManagementRoleEntry

Cmdlet für die Eingabe von Verwaltungsrollen
Abbildung 2. Dies ist ein Beispiel dafür, wie Sie überprüfen, ob die richtigen Befehle ordnungsgemäß beibehalten werden.

Die Definition dieser Rolle ist nun abgeschlossen. Was ist jedoch, wenn das Vorhandensein eines Fotos mit den Informationen in der ErweiterungAttribute15 der Postfächer zusammenhängt? Wir können diesen Wert mit dieser Rolle nicht lesen oder ändern, daher müssen wir verwandte Cmdlets und Parameter hinzufügen.

Zuerst fügen wir das hinzu Get-Mailbox und Set-Mailbox Benutzer:

Add-ManagementRoleEntry –Identity ‘Benutzerfoto Get-Mailbox -Parameters Identity, extensionAttribute15

Add-ManagementRoleEntry – Identität ‘Benutzerfoto Set-Mailbox’ -Parameter Identität

Weil wir extensionAttribute15 nicht in die Liste aufgenommen haben Set-Mailbox Eintrag können wir die verwenden Set-ManagementRoleEntry Cmdlet, um diese Lücke zu schließen:

Set-ManagementRoleEntry –Identity ‘Benutzerfoto Set-Mailbox’ –Parameters extensionAttribute15 –AddParameter

Um einen bestimmten Parameter zu entfernen, können Sie ihn angeben und das Cmdlet RemoveParameter verwenden. Zum Beispiel, um die Verwendung des Vorschau-Parameters mit nicht zuzulassen Set-UserPhoto Cmdlet können wir verwenden:

Set-ManagementRoleEntry -Identity ‘Benutzerfoto Set-UserPhoto’ -Parameter Vorschau -RemoveParameter

Um schnell eine Liste aller Verwaltungsrollen zu erhalten, mit denen Administratoren die verwenden können Set-UserPhoto In gewisser Weise können Sie verwenden:

Get-ManagementRole –Cmdlet Set-UserPhoto

Über den Autor:
Michel de Rooij ist ein Berater und Exchange MVP aus den Niederlanden. Michel begann ursprünglich 1994 als Entwickler, wechselte jedoch schnell zu infrastrukturbezogenen Projekten und konzentrierte sich 2004 auf Exchange, wobei er eine Reihe von Bereichen abdeckte, darunter Migrationen, Übergänge, Konsolidierung und Entflechtung. Neben Exchange sind Michel auch PowerShell, Active Directory, Lync und Messaging im Allgemeinen von Interesse. Michel ist Mitwirkender am Podcast theucarchitects.com von The UC Architects und an Blogs über Exchange und verwandte Themen unter Eightwone.com.

Similar Posts

Leave a Reply