Exchange 2010 Role Based Access Control RBAC


Exchange 2010 ile yönetilebilirlik oldukça yüksek seviye’de tutulmuştur.  Bunların başında’da Role Based Access Control (RBAC) gelmektedir. Öncelikle Exchange’nin önceki sürümleri olan Exchange 2003 ve Exchange 2007’de yönetim özellikleri nasıl sunulmuştur kısaca bakalım. Microsoft, Exchange 2003’de  Exchange System Manager, Exchange 2007 ise Exchange Management Console (EMC) ve Exchange Management Shell (EMS) araçlarını yönetim aracı olarak sunuyordu.


Exchange 2003 Varsayılan Gruplar:



  • Exchange Full Administrator

  • Exchange Administrator

  • Exchange View Only Administrator

Detay ; http://support.microsoft.com/kb/823018


Exchange 2007 Varsayılan Gruplar:



  • Exchange Organization Administrators

  • Exchange Recipient Administrators

  • Exchange View-Only Administrators

  • Exchange Public Folder Administrators (Service Pack 1 ile geldi)

Detay ; http://technet.microsoft.com/en-us/library/aa996881%28EXCHG.80%29.aspx


RBAC ile Exchange 2007′de olduğu  gibi Access Control List (ACL)’lerin üzerinde değişiklikler yaparak yönetim sağlamaya gerek kalmıyor. RBAC bize daha kapsamlı şekilde hangi kullanıcının hangi işlemi yapabileceği konusunda bir kontrol sağlıyor. RBAC sayesinde yönetimsel işlerin yanında kullanıcıların da kendi mailbox ve Distribution grupları için hangi işlemleri gerçekleştirebileceğini düzenleyebiliriz.
RBAC’de access verirken Sistem Adminleri ve Userlar için izleyebileceğimiz iki yol vardır.

Management Role Groups
ve Management Role Assignment Policies. İki yöntemde’de kullanıcılara gerekli yetkileri vermemizi sağlıyor. Bu yöntemlerin dışında daha ayrıntılı diğer yöntem ise Direct User Role Assignment’tır.










  • Organization Management: Bu grubun üyesi olan kullanıcılar Exchange Server 2010 organizasyonunun tamamında yönetici yetkisine sahiptir. Mailbox Search ve Kapsam içinde bulunmayan üst düzey rollerini yönetme dışında her türlü yetkiye sahiptirler.


  • View-Only Organization Management: Bu grubun üyesi olan kullanıcılar Exchange organizasyonundaki her öğenin özelliklerini görebilirler ancak değişiklik yapamazlar.


  • Recipient Management: Bu grubun üyeleri alıcı yaratabilir veya ayarlarını değiştirebilir. Alıcı olarak mailbox, contact ve distribution groupları örnek verebiliriz.


  • UM Management: Unified Management Rolünün yönetimine sahiptirler. UM sunucu , Mailbox için UM ve UM auto attendant gibi ayarları yönetebilirler.


  • Help Desk: Bu kullanıcılar Exchange 2010 organizasyonu içerisinde yer alan alıcılar üzerinde bazı yetkilere sahiptir. Kullanıcıların Outlook Web App üzerinde bulunan özelliklerini değiştirme ve görüntüleme yetkisine sahiptir. Kullanıcının Adı Soyadı, Görünen adı, Adresi, Telefon Numarası gibi bilgilerini değiştirebilir ancak kullanıcının mailbox quota size veya database’ini değiştiremez. Kısaca bu role sahip kullanıcılar son kullanıcının Outlook Web App üzerindeki yetkilerine sahiptir. Son kullanıcınızın Telefon bilgisini değiştirme yetkisi yok ise Help Desk grubu üyesi kullanıcıda bunu değiştiremeyecektir.


  • Hygiene Management: Exchange 2010 organizasyonu içerisinde kullanılan veya kullanılacak olan Antivirus ve Anti-Spam özelliklerini yönetme yetkisine sahiptirler. Exchange 2010 ile entegre çalışan ürünler bu gruba servis hesapları ekleyebilir.


  • Records Management: Bu grubun üyesi kullanıcılar Exchange 2010 Organizasyonunda Retention Policy Tags, Message Classification ve Transport rule özelliklerini yönetebilir.


  • Discovery Management: Bu grubun üyesi kullanıcılar Mailbox Search işlemini yapabilir. Kullanıcı mailboxlarına Legal Hold uygulayabilir.


  • Public Folder Management: Public Folderları ve Public Folder Database’ini yönetebilirler.


  • Server Management: Bu grubun üyesi Exchange 2010 organizasyonunda bulunan bütün fiziksel sunucuları yönetme yetkisine sahiptir.


  • Delegated Setup: Bu grubun üyesi kullanıcılar sadece Exchange 2010 sunucu kurabilir ama yönetemezler.


  • Management Role Group: Sistem yöneticisi ve/veya sistem uzmanlarımıza yetki ve görevleri atamayı sadeleştirmeyi sağlayan Universal Security Grouplardır. Bu gruplara gerekli yetkileri (Management Roles) vererek belirleyeceğimiz kapsamdaki (Scope)  kullanıcı, distribution groupları gibi öğeleri yönetebiliriz.


  • Role holder: Management Role Group’a dahil ettiğiniz kullanıcılar Role Holder olarak adlandırılır.


  • Management role assignment: Management Role Group ile atanan management role arasındaki bağlantıdır.


  • Management role scope: Management Role Group’un hangi kapsamı yöneteceğini belirtir. Burada kapsam sunucular, Organizational Unit (OU) veya belli bir filtre ile ayrıştırılmış kullanıcılar olabilir.


  • Management role: Management Role Group üyelerinin (Role Holders) hangi göreve sahip olacağını belirtir. Management Role ‘ler kullanılabilecek komutlar topluluğudur da diyebiliriz.


  • Management role entries: Genellikle Management Role Group’a atanabilecek ve bu grup tarafından kullanılabilecek tek bir komut veya parametredir.

Hangi User ne yapacak?



  1. Role Holderları bulmak: Hangi User?

  2. Management Role Scope’u bulmak için: Nereye?

  3. Management Role veya Management Role Entries’i belirlemek için: Ne Yapacak?

IT çalışanlarımız için Mailboxlarının databaseler arasında taşınma yetkisini Ufuk TATLIDIL ve Serkan SARI adlı IT Admin kullanıcılarıma vereceğim. Daha sonra bu grubun üyelerinin yönetimini de Berkcan TATLIDIL adlı kullanıcımızın yapmasını istiyorum. Bu yapıyı Management Role Group kullarak sağlayacağımdan grubumun adınıda “ITADMINS” olarak yapılandırdım.



  • Management Role Group: ITPRO

  • Role Holders: Ufuk TATLIDIL, Serkan SARI

  • Role Group Management User: Berkcan TATLIDIL

  • Management Role Scope: ITADMINS OU

  • Management Role: User Accounts – Move Mailboxes

Management Role Scope :


New-ManagementScope -Name “IT Admins Mailbox” -RecipientRestrictionFilter { RecipientType -eq ‘usermailbox’ } -RecipientRoot “ufuktatlidil.com/ITADMINS”



Management Role Group Oluşturulması :


New-RoleGroup -Name “ITPRO” -Roles “Move Mailboxes” -ManagedBy “berkcan.tatlidil” -Members “ufuk.tatlidil”, “serkan.sari” -CustomRecipientWriteScope “IT Admins Mailbox









Get-RoleGroup “ITPRO” : fl


Komutu ile kontrol edelim.









Role group’u Active Directory’de üzerinde görebiliriz.









Serkan SARI User’ı ile deneme yapıyoruz:


Serkan SARI User’ı ile login olduğumuzda Exchange 2010 EMC üzerinde ki ulaşılabilen kısımları görebiliyoruz.











Farklı bir OU üzerinde’ki User’ın Mailbox’ını taşımaya çalışıyor ve hata alıyoruz.


 








ITADMINS OU’sunda olan User’ımızı başarılı bir şekilde taşıdık.








User’ın Mailbox DB’sini değiştirebiliyoruz. Ancak diğer hiç bir özelliği üzerinde işlem yapamıyoruz.









Management Role Groupları sayesinde Exchange 2010′da iyi bir planlama ile yetkileri yönetmek daha kolay hale gelmektedir. Bu özellik sayesinde Organizasyonunuz üzerinde birçok Access Control tanımlaması yapabilirsiniz.


Makalemizin sonuna geldik. Umarım faydalı olmuştur.


http://technet.microsoft.com/en-us/library/gg425917.aspx


http://technet.microsoft.com/en-us/library/cc780256%28WS.10%29.aspx

Exit mobile version