/ 中存储网

Exchange 2010 邮件服务器RBAC权限模型介绍

2014-08-28 22:38:36 来源:中存储网

一、 概述

在 Exchange 2010 中,基于角色的访问控制 (RBAC) 会替换 Exchange 2007 中所使用的权限模型。通过使用 RBAC,您可以根据管理员和用户的角色定义极其多样或精确的权限模型。

对于管理员和专家用户,管理角色组会定义这些用户可以在组织中管理的内容。角色组可将角色组成员与定义成员可执行操作的一系列管理角色联系起来。您可以通过作为角色组成员添加或删除用户,以及在角色组中添加或删除角色分配,来控制成员可以管理组织的哪些方面。

对于最终用户而言,管理角色分配策略定义了用户可在其邮箱上配置的内容。分配策略可在默认情况下或通过手动应用于每个邮箱,并使您能够控制用户是否可以更改其个人信息、联系人信息、通讯组成员身份等。

角色组和角色分配策略均是已分配的管理角色。管理角色可控制执行任务所需的cmdlet及参数的访问权限。例如,如果管理角色中存在cmdlet,并且该角色已分配给角色组,则角色组成员将可以使用cmdlet。

二、 RBAC 权限的配置

对于组织通常需要将Exchange管理权限和AD管理权限进行详细划分时,可以使用Exchange 2010中基于权限的管理模型进行权限的配置。以下针对组织日常使用的几种场景分别进行介绍。

场景介绍,组织架构是父子域架构,父域为:contoso.com,子域为:gz.contoso.com,在父子域中均安装有Exchange 2010邮件服务器。以下权限设置在子域上进行委派,配置某一特定用户具有管理子域具体Ou的Exchange权限和管理子域所有范围的Exchange权限。

1. 基于OU的管理权限

1) 使用具有Exchange 2010管理员权限的账号登陆到服务器,打开Exchange management shell,注意,后续所有的操作都将在Powershell中进行。

2) 如实现让管理员只能连接到GZ.Contoso.com子域的邮件服务器进行创建邮箱的操作,使用以下命令创建管理范围;

New-managementscope –name “范围名称” –serverlist服务器名,服务器名(注:多个服务器之间以逗号分隔)

3) 使用以下命令基于现有的内置管理角色创建一个新的管理角色,由于内置的管理角色不符合我们的需求,使用基于内置的管理角色创建一个管理角色;

New-managementrole –parent “mail recipient creation(内置角色)” –name “管理角色名”

New-managementrole –parent “mail recipients(内置角色)” –name “管理角色名”

注:如果需要使管理用户具有其他角色权限,可使用其他具有相应权限的内置管理角色创建一个新的管理角色;

4) 由于基于内置管理角色创建的新角色具有删除用户邮箱,联系人的权限,如果我们并不希望让创建用户邮箱的用户具有删除的权限,可以使用以下命令将删除角色项从新管理角色中进行删除;

Remove-managementroleentry “mailbox createremove-mailbox”
Remove-managementroleentry “mailbox createremove-mailuser”
Remove-managementroleentry “mailbox createremove-mailcontact”
Remove-managementroleentry “mailbox createremove-remotemailbox”
Remove-managementroleentry “mailbox recipients enable remove-owamailboxpolicy”
Remove-managementroleentry “mailbox recipients enable remove-mailboxpermission”
Remove-managementroleentry “mailbox recipients enable remove-mailboxfolderpermission”
Remove-managementroleentry “mailbox recipients enable remove-inboxrule”
Remove-managementroleentry “mailbox recipients enable remove-activesyncdevice”
Remove-managementroleentry “mailbox recipients enable disable-serviceemailchannel”
Remove-managementroleentry “mailbox recipients enable disable-mailbox”
Remove-managementroleentry “mailbox recipients enable disable-mailuser”
Remove-managementroleentry “mailbox recipients enable disable-remotemailbox”
Remove-managementroleentry “mailbox recipients enable disable-mailcontact”
Remove-managementroleentry “mailbox recipients enable disable-inboxrule”

5) 在此权限委派中,我们针对安全组进行权限委派,当然也可以针对具体的管理用户进行委派。首先,在AD中创建一个用于权限委派的安全组(注:安全组必须为通用安全组)。安全组创建完成后,通过以下命令授予安全组具有在特定OU中创建用户邮箱的权限。

New-managementroleassignment –name “Assignment name” –securitygroup “group name” –role “mailbox create” –customconfigwritescope “范围名称” –recipientorganizationlunitscopeGZ.Contoso.com/ou name (如不需要在启用邮箱的过程中创建新用户账号,可不授予该角色权限)

New-managementroleassignment –name “Assignment name” –securitygroup “group name” –role “mailbox recipients enable” –customconfigwritescope “范围名称” –recipientorganizationlunitscope GZ.Contoso.com/ou name

2. 基于域的管理权限

1) 按照上述”基于OU的管理权限”中的1-4步进行配置具体的管理角色权限;

2) 如果授予一个管理用户在子域gz.contoso.com中具有创建邮箱的权限,可使用以下命令行进行配置;

New-managementroleassignment –name “Assignment name” –securitygroup “group name” –role “mailbox create” –customconfigwritescope “范围名称” –recipientorganizationlunitscope GZ.Contoso.com(如不需要在启用邮箱的过程中创建新用户账号,可不授予该角色权限)

New-managementroleassignment –name “Assignment name” –securitygroup “group name” –role “mailbox recipients enable” –customconfigwritescope “范围名称” –recipientorganizationlunitscope GZ.Contoso.com