In diesem Beispiel werden die einzelnen Objekte systematisch erzeugt und miteinander in Verbindung gesetzt: RoleGroup - RoleAssignement - Role.
In einem internationalen Unternehmen sind die lokalen Admins auf OU-Ebene voll delegiert, die erforderliche Benutzerverwaltung zu machen. Die Postfächer für alle Länder liegen in einem Datenzentrum. Auch die Exchange relevante Benutzerverwaltung wird von jedem Land eigenständig erledigt.
Das Architekturbild zeigt die verschiedenen Objektebenen auf:
- Erzeugen einer Rollengruppe und Zuweisung einer Rolle
Die RoleGroup erhält eine Rolle zugewiesen, da der -Roles Parameter obligatorisch ist. Ich entscheide mich für eine Rolle mit den minimalsten Kompetenzen.
New-RoleGroup -Name "DE Recipient Administration Group" -Roles "View-Only Recipients"
Die zugewiesene Management-Rolle ermöglicht das Lesen der Konfigurationsattribute von mailbox-aktivierten Objekten - mehr nicht.
Es wird eine entsprechende universelle Sicherheitsgruppe in der Organisationseinheit Microsoft Exchange Security Groups erzeugt.
Interessant ist, dass der Admin dann in der EMC das Server-Objekt erst gar nicht sieht. Dann müsste man auch die "View-Only Confguration Rolle zuweisen. Alles andere ist halt nur zum "anschaun" da - keine Berechtigungen.
- Erzeugen eines Scopes
Der Scope bezieht sich auf alle Empfängertypen innerhalb einer definierten OU
New-ManagementScope -Name "DE Scope" -RecipientRestrictionFilter { RecipientType -eq '*' } -RecipientRoot "xchg10.com/DE" - Erzeugen RoleAssignement
Dieses Objekt dient als Link zwischen der RoleGroup und der Role. Im Beispiel wird die RoleGroup "DE Recipient Administration Group" mit der Rolle "Mail recipient creation" verknüpft. Das RoleAssignement-Objekt hat den Namen "DE Mail recipient creation" und erhält zusätzlich noch das Scope-Objekt "DE Scope" zugeordnet.
New-ManagementRoleAssignment -Name "DE Mail recipient creation" -SecurityGroup "DE Recipient Administration Group" -Role "Mail recipient" -CustomRecipientWriteScope "DE Scope" - Erzeugen eines weiteren RoleAssignement für die gleiche RoleGroup/Role-Zuordnung
New-ManagementRoleAssignment -Name "DE Mail dl admin" -SecurityGroup "DE Recipient Administration Group" -Role "distribution groups" -CustomRecipientWriteScope "DE Scope" - Auflisten der RollGroups
(Get-RoleGroup "DE Recipient Administration Group").Roles - Hinzufügen eines Benutzers zur RoleGroup
Add-RoleGroupMember "DE Recipient Administration Group" -Member bb
Was kann der Mitarbeiter jetzt tun?
- Er kann mit der EMC einen neuen Mailboxbenutzer ausschließlich in der OU DE anlegen. Er kann aber mit der MMC ADUC so gut wie keine AD-Attribute verwalten. Dazu müßte er die entsprechende AD-Delegation erhalten. In unserem Fall also eine vollständige Delegation.
Zusammenfassung:
Exchange 2010 ermöglicht durch sein rollenbasierte Administrationsmodell (rollenbasierte Zugriffssteuerung) mithilfe von Remote-PowerShell, Aufgaben auf kontrollierte Weise an zuständige Benutzer zu delegieren und so den Bedürfnissen des Unternehmens nachzukommen. Spezielle Rollen für Mitarbeiter des Helpdesks oder Exchange-Serveradministratoren lassen sich leicht erstellen und verwalten und vereinfachen die Exchange-Administration.
