Управление доступом на основе ролей в практике администрирования Exchange: расширенные возможности из первых рук

Администратор / Специалист Присвоение роли: привязка роли и сферы действия к держателю Role Entry Command: Parameters Role Entry Command: Parameters Role Entry Command: Parameters Role Entry Command: Parameters Элемент роли Command: Parameters Элемент роли Command: Parameters Role Entry Command: Parameters Role Entry Command: Parameters Элемент роли Command: Parameters Элемент роли Command: Parameters Элемент роли Command: Parameters Элемент роли Command: Parameters ДержательДолжностьПривязкаРазрешения на основе задач Индивидуальные разрешения Кто? Над чем? Что? Кто, что и над чем может выполнять

Политика назначения ролей ДолжностьДержательПривязкаРазрешения на основе задач Кто? Над чем? Что?

Администратор / Специалист Присвоение роли MasterAccountSid LinkedRoleGroupSid Связанный пользователь Связанный пользователь

[PS] C:\> $cred = Get-Credential moscow.contoso.com\vladg [PS] C:\> New-RoleGroup -LinkedDomainController dc1.moscow.contoso.com -LinkedCredential $cred -LinkedForeignGroup MonitoringUsers -Roles Monitoring -Name LinkedMonitoringUsers Учетные данные другого леса Контроллер домена другого леса Учетные данные Имя группы безопасности в другом лесу Роль в данном лесу Имя создаваемой ролевой группы

[PS] C:\> $cred = Get-Credential moscow.contoso.com\vladg [PS] C:\> New-RoleGroup -LinkedDomainController dc1.moscow.contoso.com -LinkedCredential $cred -LinkedForeignGroup MonitoringUsers -Roles Monitoring -Name LinkedMonitoringUsers Учетные данные другого леса Контроллер домена другого леса Учетные данные Имя группы безопасности в другом лесу Роль в данном лесу Имя создаваемой ролевой группы

[PS] C:\> $cred = Get-Credential moscow.contoso.com\vladg [PS] C:\> New-RoleGroup -LinkedDomainController dc1.moscow.contoso.com -LinkedCredential $cred -LinkedForeignGroup MonitoringUsers -Roles Monitoring -Name LinkedMonitoringUsers Учетные данные другого леса Контроллер домена другого леса Учетные данные Имя группы безопасности в другом лесу Роль в данном лесу Имя создаваемой ролевой группы

[PS] C:\> $cred = Get-Credential moscow.contoso.com\vladg [PS] C:\> New-RoleGroup -LinkedDomainController dc1.moscow.contoso.com -LinkedCredential $cred -LinkedForeignGroup MonitoringUsers -Roles Monitoring -Name LinkedMonitoringUsers Учетные данные другого леса Контроллер домена другого леса Учетные данные Имя группы безопасности в другом лесу Роль в данном лесу Имя создаваемой ролевой группы

[PS] C:\> $cred = Get-Credential moscow.contoso.com\vladg [PS] C:\> New-RoleGroup -LinkedDomainController dc1.moscow.contoso.com -LinkedCredential $cred -LinkedForeignGroup MonitoringUsers -Roles Monitoring -Name LinkedMonitoringUsers Учетные данные другого леса Контроллер домена другого леса Учетные данные Имя группы безопасности в другом лесу Роль в данном лесу Имя создаваемой ролевой группы

[PS] C:\> $cred = Get-Credential moscow.contoso.com\vladg [PS] C:\> New-RoleGroup -LinkedDomainController dc1.moscow.contoso.com -LinkedCredential $cred -LinkedForeignGroup MonitoringUsers -Roles Monitoring -Name LinkedMonitoringUsers Учетные данные другого леса Контроллер домена другого леса Учетные данные Имя группы безопасности в другом лесу Роль в данном лесу Имя создаваемой ролевой группы

[PS] C:\> New-ManagementScope RedmondDBs -DatabaseRestrictionFilter "{Name -like 'Redmond*'}" [PS] C:\> New-ManagementScope RedmondUsers -RecipientRoot "Users" -RecipientRestrictionFilter "{Office -Like 'Redmond*'}" [PS] C:\>New-RoleGroup RedmondAdmins -Roles "Mail Recipients" -CustomConfigWriteScope RedmondDBs -CustomRecipientWriteScope RedmondUsers Базы данных с именем Redmond* Пользователи с офисами в Редмонде Роль «Получатели» Сферы действия

[PS] C:\> New-ManagementScope RedmondDBs -DatabaseRestrictionFilter "{Name -like 'Redmond*'}" [PS] C:\> New-ManagementScope RedmondUsers -RecipientRoot "Users" -RecipientRestrictionFilter "{Office -Like 'Redmond*'}" [PS] C:\>New-RoleGroup RedmondAdmins -Roles "Mail Recipients" -CustomConfigWriteScope RedmondDBs -CustomRecipientWriteScope RedmondUsers Базы данных с именем Redmond* Пользователи с офисами в Редмонде Роль «Получатели» Сферы действия

[PS] C:\> New-ManagementScope RedmondDBs -DatabaseRestrictionFilter "{Name -like 'Redmond*'}" [PS] C:\> New-ManagementScope RedmondUsers -RecipientRoot "Users" -RecipientRestrictionFilter "{Office -Like 'Redmond*'}" [PS] C:\>New-RoleGroup RedmondAdmins -Roles "Mail Recipients" -CustomConfigWriteScope RedmondDBs -CustomRecipientWriteScope RedmondUsers Базы данных с именем Redmond* Пользователи с офисами в Редмонде Роль «Получатели» Сферы действия

[PS] C:\> New-ManagementScope RedmondDBs -DatabaseRestrictionFilter "{Name -like 'Redmond*'}" [PS] C:\> New-ManagementScope RedmondUsers -RecipientRoot "Users" -RecipientRestrictionFilter "{Office -Like 'Redmond*'}" [PS] C:\>New-RoleGroup RedmondAdmins -Roles "Mail Recipients" -CustomConfigWriteScope RedmondDBs -CustomRecipientWriteScope RedmondUsers Базы данных с именем Redmond* Пользователи с офисами в Редмонде Роль «Получатели» Сферы действия

РольРолевая группа Mailbox SearchApplicationImpersonation Discovery Management Hygiene Management Роль Mailbox Import Export Support Diagnostics UnScoped Role Management MyDiagnostics MyDistributionGroups MyProfileInformation MyRetentionPolicies

Демонстрация

[0]PS> # Создадим два контейнера (Organizational Unit) [1]PS> $domainDN = (Get-DomainController).Identity.DomainId.DistinguishedName [2]PS> $ou1DN="OU=NewYork,"+$domainDN [3]PS> $ou2DN="OU=London,"+$domainDN [4]PS> dsadd ou $ou1DN; dsadd ou $ou2DN dsadd succeeded:OU=NewYork,DC=contoso,DC=com dsadd succeeded:OU=London,DC=contoso,DC=com [5]PS> # Cоздадим двух администраторов [6]PS> $pwd = ConvertTo-SecureString -AsPlainText -Force [7]PS> new-mailbox NewYorkAdmin -Password $pwd -UserPrincipalName Name Alias ServerName ProhibitSendQuota NewYorkAdmin NewYorkAdmin slc-dc01 unlimited [8]PS> new-mailbox LondonAdmin -Password $pwd -UserPrincipalName Name Alias ServerName ProhibitSendQuota LondonAdmin LondonAdmin slc-dc01 unlimited

[9]PS> # Хотим назначить права на создание получателей администратору NewYorkAdmin. [10]PS> # Какие роли содержат командлет New-Mailbox? [11]PS> Get-ManagementRole -Cmdlet New-Mailbox Name RoleType Mail Recipient Creation MailRecipientCreation [12]PS> # Назначим роль "Mail Recipient Creation" [13]PS> New-ManagementRoleAssignment NewYorkMailRecipientCreation -User NewYorkAdmin -Role "Mail Recipient Creation" Name Role RoleAssigneeName RoleAssigneeType AssignmentMethod EffectiveUserName NewYorkMailRecipientCreation Mail Recipient... NewYorkAdmin User Direct [14]PS> # Какие роли позволяют модифицировать контакты? [15]PS> Get-ManagementRole -Cmdlet Set-MailContact Name RoleType Mail Recipients MailRecipients Legal Hold LegalHold UM Mailboxes UMMailboxes

[16]PS> # Какие параметры содержатся в каких ролях? [17]PS> Get-ManagementRoleEntry *\Set-MailContact Name Role Parameters Set-MailContact Legal Hold {ArbitrationMailbox, Identity} Set-MailContact Mail Recipients {AcceptMessagesOnlyFrom, AcceptMessagesOnlyFromDLMembers, A... Set-MailContact UM Mailboxes {CreateDTMFMap, Identity, SecondaryDialPlan, UMDtmfMap} [18]PS> # Назначим роль "Mail Recipients" [19]PS> New-ManagementRoleAssignment NewYorkMailRecipients -User NewYorkAdmin -Role "Mail Recipients" Name Role RoleAssigneeName RoleAssigneeType AssignmentMethod EffectiveUserName NewYorkMailRecipients Mail Recipients NewYorkAdmin User Direct [20]PS> # Что содержит роль "Role Management"? [21]PS> Get-ManagementRoleEntry "Role Management\*" Name Role Parameters Write-AdminAuditLog Role Management {Comment, Confirm, Debug, DomainController, ErrorAction, Er......

[22]PS> # Создадим дочернюю роль [23]PS> New-ManagementRole Delegation -Parent "Role Management" Name RoleType Delegation RoleManagement [24]PS> # Удалим из нее все командлеты, кроме имеющих отношение к назначениям ролей [25]PS> Get-ManagementRoleEntry Delegation\* | Where {$_.Name -notlike "*RoleAssignment"} | Remove- ManagementRoleEntry - Confirm:$false [26]PS> Get-ManagementRoleEntry Delegation\* Name Role Parameters Get-ManagementRoleAssignment Delegation {AssignmentMethod, ConfigWriteScope, CustomConfigWriteScope... New-ManagementRoleAssignment Delegation {Computer, Confirm, CustomConfigWriteScope, CustomRecipient... Remove-ManagementRoleAssign... Delegation {Confirm, Debug, DomainController, ErrorAction, ErrorVariab... Set-ManagementRoleAssignment Delegation {Confirm, CustomConfigWriteScope, CustomRecipientWriteScope...

[27]PS> # Назначим эту роль администратору NewYorkAdmin [28]PS> New-ManagementRoleAssignment NewYorkAdminDelegation -User NewYorkAdmin -Role Delegation Name Role RoleAssigneeName RoleAssigneeType AssignmentMethod EffectiveUserName NewYorkAdminDelegation Delegation NewYorkAdmin User Direct [29]PS> # Дадим права на делегирование роли "Mail Recipient Creation" в Лондоне [30]PS> New-ManagementRoleAssignment NewYorkMailRecipientCreationDelegating -User NewYorkAdmin -Role "Mail Recipient Creation" -Delegating:$true -RecipientOrganizationalUnitScope "London" Name Role RoleAssigneeName RoleAssigneeType AssignmentMethod EffectiveUserName NewYorkMailRecipientCreatio... Mail Recipient... NewYorkAdmin User Direct [31]PS> # Подключимся как NewYorkAdmin [32]PS> $psCommand = ". '$Env:ProgramFiles\Microsoft\Exchange Server\V14\bin\RemoteExchange.ps1'; Connect-ExchangeServer -auto -ClientApplication:PowerShell -UserName $Env:UserDnsDomain\NewYorkAdmin;. c:\demo\DemoScriptFunc.ps1; Start-Demo c:\demo\NewYorkAdmin.txt" [33]PS> Start $Env:Windir\system32\WindowsPowerShell\v1.0\powershell.exe -ArgumentList "-noexit", "- command $psCommand"

[0]PS> # Создадим почтовые ящики в Нью-Йорке и Лондоне [1]PS> $pwd = ConvertTo-SecureString -AsPlainText -Force [2]PS> $Domain=$Env:UserDnsDomain [3]PS> New-Mailbox NewYorkMailbox1 -UserPrincipalName -Password $pwd - OrganizationalUnit "NewYork" Name Alias ServerName ProhibitSendQuota NewYorkMailbox1 NewYorkMailbox1 slc-dc01 unlimited [4]PS> New-Mailbox LondonMailbox1 -UserPrincipalName -Password $pwd -OrganizationalUnit "London" Name Alias ServerName ProhibitSendQuota LondonMailbox1 LondonMailbox1 slc-dc01 unlimited [5]PS> # Делегируем роль "Mail Recipient Creation" администратору LondonAdmin, не указывая сферы действия [6]PS> New-ManagementRoleAssignment LondonMailRecipientCreation -User LondonAdmin -Role "Mail Recipient Creation" Name Role RoleAssigneeName RoleAssigneeType AssignmentMethod EffectiveUserName LondonMailRecipientCreation Mail Recipient... LondonAdmin User Direct

[7]PS> # Сфера действия только что созданного присвоения роли совпадает с сферой действия делегируюшего назначения роли [8]PS> Get-ManagementRoleAssignment LondonMailRecipientCreation | ft *RecipientWrite* -auto CustomRecipientWriteScope RecipientWriteScope contoso.com/London OU [9]PS> # Делегируем роль "Mail Recipient Creation" администратору LondonAdmin со сферой действия NewYork [10]PS> New-ManagementRoleAssignment LondonMailRecipientCreation1 -User LondonAdmin -Role "Mail Recipient Creation" -RecipientOrganizationalUnitScope NewYork You don't have access to create, change, or remove the "LondonMailRecipientCreation1" management role assignment. You must be assigned a delegating role assignment to the management role or its parent in the hierarchy without a scope restriction. + CategoryInfo : InvalidOperation: (LondonMailRecipientCreation1:ADObjectId) [New-ManagementRoleAssignment], InvalidOperationException + FullyQualifiedErrorId : 78309DD3,Microsoft.Exchange.Management.RbacTasks.NewManagementRoleAssignment [11]PS> # Делегируем роль "Mail Recipients" администратору LondonAdmin [12]PS> New-ManagementRoleAssignment LondonMailRecipients -User LondonAdmin -Role "Mail Recipients" You don't have access to create, change, or remove the "LondonMailRecipients" management role assignment. You must be assigned a delegating role assignment to the management role or its parent in the hierarchy without a scope restriction. + CategoryInfo : InvalidOperation: (LondonMailRecipients:ADObjectId) [New-ManagementRoleAssignment], InvalidOperationException + FullyQualifiedErrorId : 78309DD3,Microsoft.Exchange.Management.RbacTasks.NewManagementRoleAssignment

[34]PS> # Какие держатели роли "Mail Recipients" могут изменять почтовый ящик в Нью-Йорке? [35]PS> Get-ManagementRoleAssignment -WritableRecipient NewYorkMailbox1 -Role "Mail Recipients" Name Role RoleAssigneeName RoleAssigneeType AssignmentMethod EffectiveUserName Mail Recipients-Organizatio... Mail Recipients Organization M... RoleGroup Direct All Group Mem... Mail Recipients-Recipient M... Mail Recipients Recipient Mana... RoleGroup Direct All Group Mem... NewYorkMailRecipients Mail Recipients NewYorkAdmin User Direct NewYorkAdmin [36]PS> # Перечислим всех держателей роли, включая членов ролевых групп и групп безопасности [37]PS> Get-ManagementRoleAssignment -WritableRecipient NewYorkMailbox1 -Role "Mail Recipients" -GetEffectiveUsers Name Role RoleAssigneeName RoleAssigneeType AssignmentMethod EffectiveUserName Mail Recipients-Organizatio... Mail Recipients Organization M... RoleGroup Direct All Group Mem... Mail Recipients-Organizatio... Mail Recipients Organization M... RoleGroup RoleGroup Administrator Mail Recipients-Organizatio... Mail Recipients Organization M... RoleGroup Direct All Group Mem... Mail Recipients-Organizatio... Mail Recipients Organization M... RoleGroup RoleGroup Administrator Mail Recipients-Recipient M... Mail Recipients Recipient Mana... RoleGroup Direct All Group Mem... NewYorkMailRecipients Mail Recipients NewYorkAdmin User Direct NewYorkAdmin

[38]PS> # Найдем все роли, содержашие командлет Set-Mailbox [39]PS> Get-ManagementRole -Cmdlet Set-Mailbox Name RoleType Mail Recipients MailRecipients User Options UserOptions MyBaseOptions Legal Hold LegalHold Disaster Recovery DisasterRecovery Audit Logs AuditLogs UM Mailboxes UMMailboxes Retention Management RetentionManagement MyProfileInformation MyDisplayName MyProfileInformation [40]PS> # Кто имеет право запускать командлет Set-Mailbox, указав почтовый ящик из Нью-Йорка? [41]PS> Get-ManagementRole -Cmdlet Set-Mailbox | Get-ManagementRoleAssignment -WritableRecipient NewYorkMailbox1 Name Role RoleAssigneeName RoleAssigneeType AssignmentMethod EffectiveUserName Mail Recipients-Organizatio... Mail Recipients Organization M... RoleGroup Direct All Group Mem... Mail Recipients-Recipient M... Mail Recipients Recipient Mana... RoleGroup Direct All Group Mem... NewYorkMailRecipients Mail Recipients NewYorkAdmin User Direct NewYorkAdmin … [42]PS> # Какие держатели роли "Mail Recipient Creation" имеют право непосредственно модифицировать почтовый ящик в Лондоне? [43]PS> Get-ManagementRoleAssignment -WritableRecipient LondonMailbox1 -Role "Mail Recipient Creation" - GetEffectiveUsers -Delegating:$false Name Role RoleAssigneeName RoleAssigneeType AssignmentMethod EffectiveUserName Mail Recipient Creation-Org... Mail Recipient... Organization M... RoleGroup Direct All Group Mem... Mail Recipient Creation-Org... Mail Recipient... Organization M... RoleGroup RoleGroup Administrator Mail Recipient Creation-Rec... Mail Recipient... Recipient Mana... RoleGroup Direct All Group Mem... NewYorkMailRecipientCreation Mail Recipient... NewYorkAdmin User Direct NewYorkAdmin LondonMailRecipientCreation Mail Recipient... LondonAdmin User Direct LondonAdmin

[42]PS> # Какие держатели роли "Mail Recipient Creation" имеют право непосредственно модифицировать почтовый ящик в Лондоне? [43]PS> Get-ManagementRoleAssignment -WritableRecipient LondonMailbox1 -Role "Mail Recipient Creation" - GetEffectiveUsers -Delegating:$false Name Role RoleAssigneeName RoleAssigneeType AssignmentMethod EffectiveUserName Mail Recipient Creation-Org... Mail Recipient... Organization M... RoleGroup Direct All Group Mem... Mail Recipient Creation-Org... Mail Recipient... Organization M... RoleGroup RoleGroup Administrator Mail Recipient Creation-Rec... Mail Recipient... Recipient Mana... RoleGroup Direct All Group Mem... NewYorkMailRecipientCreation Mail Recipient... NewYorkAdmin User Direct NewYorkAdmin LondonMailRecipientCreation Mail Recipient... LondonAdmin User Direct LondonAdmin

Где и как используется RBAC Удаленный режим PowerShell Управление доступом на основе ролей Назначение разрешений на отдельные операции в рамках всей организации Назначение разрешений на отдельные операции в рамках всей организации Отображение доступных функций в средствах управления Отображение доступных функций в средствах управления Управление доступом на основе ролей Назначение разрешений на отдельные операции в рамках всей организации Назначение разрешений на отдельные операции в рамках всей организации Отображение доступных функций в средствах управления Отображение доступных функций в средствах управления Консоль управления Exchange Стандартное управление Exchange Стандартное управление Exchange Требует установки на клиенте Требует установки на клиенте

Где и как используется RBAC Удаленный режим PowerShell Управление доступом на основе ролей Назначение разрешений на отдельные операции в рамках всей организации Назначение разрешений на отдельные операции в рамках всей организации Отображение доступных функций в средствах управления Отображение доступных функций в средствах управления Управление доступом на основе ролей Назначение разрешений на отдельные операции в рамках всей организации Назначение разрешений на отдельные операции в рамках всей организации Отображение доступных функций в средствах управления Отображение доступных функций в средствах управления Консоль управления Exchange Стандартное управление Exchange Стандартное управление Exchange Требует установки на клиенте Требует установки на клиенте Панель управления Exchange Самообслуживание пользователей Самообслуживание пользователей Специалисты Специалисты Веб-интерфейс Веб-интерфейс

Где и как используется RBAC Удаленный режим PowerShell Управление доступом на основе ролей Назначение разрешений на отдельные операции в рамках всей организации Назначение разрешений на отдельные операции в рамках всей организации Отображение доступных функций в средствах управления Отображение доступных функций в средствах управления Управление доступом на основе ролей Назначение разрешений на отдельные операции в рамках всей организации Назначение разрешений на отдельные операции в рамках всей организации Отображение доступных функций в средствах управления Отображение доступных функций в средствах управления Консоль управления Exchange Стандартное управление Exchange Стандартное управление Exchange Требует установки на клиенте Требует установки на клиенте Панель управления Exchange Самообслуживание пользователей Самообслуживание пользователей Специалисты Специалисты Веб-интерфейс Веб-интерфейс Консоль Powershell Полное управление Exchange Полное управление Exchange Не требует установки на клиенте Не требует установки на клиенте

Где и как используется RBAC Удаленный режим PowerShell Управление доступом на основе ролей Назначение разрешений на отдельные операции в рамках всей организации Назначение разрешений на отдельные операции в рамках всей организации Отображение доступных функций в средствах управления Отображение доступных функций в средствах управления Управление доступом на основе ролей Назначение разрешений на отдельные операции в рамках всей организации Назначение разрешений на отдельные операции в рамках всей организации Отображение доступных функций в средствах управления Отображение доступных функций в средствах управления Консоль управления Exchange Стандартное управление Exchange Стандартное управление Exchange Требует установки на клиенте Требует установки на клиенте Панель управления Exchange Самообслуживание пользователей Самообслуживание пользователей Специалисты Специалисты Веб-интерфейс Веб-интерфейс Консоль Powershell Полное управление Exchange Полное управление Exchange Не требует установки на клиенте Не требует установки на клиенте Служба утверждения членства групп рассылки

Где и как используется RBAC Удаленный режим PowerShell Управление доступом на основе ролей Назначение разрешений на отдельные операции в рамках всей организации Назначение разрешений на отдельные операции в рамках всей организации Отображение доступных функций в средствах управления Отображение доступных функций в средствах управления Управление доступом на основе ролей Назначение разрешений на отдельные операции в рамках всей организации Назначение разрешений на отдельные операции в рамках всей организации Отображение доступных функций в средствах управления Отображение доступных функций в средствах управления Консоль управления Exchange Стандартное управление Exchange Стандартное управление Exchange Требует установки на клиенте Требует установки на клиенте Панель управления Exchange Самообслуживание пользователей Самообслуживание пользователей Специалисты Специалисты Веб-интерфейс Веб-интерфейс Консоль Powershell Полное управление Exchange Полное управление Exchange Не требует установки на клиенте Не требует установки на клиенте Служба утверждения членства групп рассылки Веб- сервисы Exchange (EWS)