PowerShell zum Anpassen von RBAC-Berechtigungen in Exchange 2013

Wir setzen die „Deep Dive“-Reihe fort. Darin finden Sie möglicherweise Antworten auf einige Ihrer technischen Fragen. Branchenexperten werden ihre Einsichten zu verschiedenen Themen liefern und einige neue Funktionen der beliebtesten Anwendungen erforschen. Den ersten Artikel der Reihe finden Sie hier. Lesen Sie auch mehr über die Exchange 2013 CAS-Konfiguration (Teil 1, Teil 2)! Kommentare und Diskussionen sind willkommen!

RBAC ist das neue Berechtigungsmodell in Exchange 2013. Mit RBAC müssen wir keine Zugriffskontrolllisten (ACLs) mehr ändern und verwalten. Es ermöglicht uns, sowohl auf breiter als auch auf detaillierter Ebene zu steuern, was Administratoren und Endbenutzer tun können. In Exchange 2013 kontrolliert RBAC jetzt sowohl die administrativen Aufgaben, die ausgeführt werden können, als auch das Ausmaß, in dem Benutzer jetzt ihre eigenen Postfächer und Verteilergruppen verwalten können.

Die Rollengruppe besteht aus den folgenden Komponenten, die definieren, was Administratoren und Spezialbenutzer tun können:

• Management-Rollengruppe: Die Management-Rollengruppe ist eine spezielle universelle Sicherheitsgruppe (USG), die Postfächer, Benutzer, USGs und andere Rollengruppen enthält, die Mitglieder der Rollengruppe sind. Hier fügen Sie Mitglieder hinzu oder entfernen sie, und hier werden auch die Management-Rollen zugewiesen. Die Kombination aller Rollen in einer Rollengruppe definiert alles, was Benutzer, die einer Rollengruppe hinzugefügt wurden, in der Exchange-Organisation verwalten können.
• Managementrolle: Eine Managementrolle ist ein Container für eine Gruppierung von Managementrolleneinträgen. Rollen werden verwendet, um die spezifischen Aufgaben zu definieren, die von den Mitgliedern einer Gruppe mit zugewiesenen Rollen ausgeführt werden können. Ein Managementrolleneintrag ist ein Cmdlet, Skript oder eine spezielle Berechtigung, die es ermöglicht, jede festgelegte Aufgabe in der Rolle auszuführen.
• Zuweisung von Managementrollen: Eine Zuweisung von Managementrollen verknüpft eine Rolle mit einer Rollengruppe. Das Zuweisen einer Rolle an eine Rollengruppe gewährt den Mitgliedern der Gruppe die Berechtigung, die in der Rolle definierten Cmdlets und Parameter zu verwenden. Rollenzuweisungen können Verwaltungsbereiche nutzen, um zu steuern, wo die Zuweisung verwendet werden kann.
• Verwaltungsbereich von Rollen: Ein Verwaltungsbereich von Rollen ist der Einfluss- oder Wirkungsbereich einer Rollenzuweisung. Wenn einer Rollengruppe eine Rolle mit einem bestimmten Bereich zugewiesen wird, zielt der Verwaltungsbereich genau darauf ab, welche Objekte durch diese Zuweisung verwaltet werden dürfen. Die Zuweisung und ihr Bereich werden dann den Mitgliedern der Rollengruppe gegeben und beschränken, was diese Mitglieder verwalten können. Ein Bereich kann aus einer Liste von Servern oder Datenbanken, organisatorischen Einheiten (OUs) oder Filtern für Server-, Datenbank- oder Empfängerobjekte bestehen. Nehmen wir ein Szenario, in dem das Helpdesk-Team die Berechtigung „Empfängerverwaltung“ bereitstellen muss, die dafür verantwortlich ist, Postfächer zu erstellen und zu verwalten, Verteilergruppen zu erstellen und zu verwalten, Postfächer zu verschieben und zu migrieren und schließlich Nachrichten zu verfolgen. Die Berechtigung „Empfängerverwaltung“ würde jedoch auch Lösch- und Deaktivierungszugriffsrechte gewähren. Diese Berechtigung muss für das Helpdesk-Team eingeschränkt werden. Folgen wir den untenstehenden Schritten, um die Berechtigung für die Empfängerverwaltung anzupassen.

Zunächst sollten wir die Verwaltungsrollen in der Rollengruppe „Recipient Management“ mit dem folgenden Befehl verstehen

      Get-Rolegroup “Recipient Management” | Select roles).roles | select name
      

Wir müssen nur die erforderliche Managementrolle aus dem obigen Befehlsergebnis auswählen und sie an unsere Anforderungen anpassen.

• Verteilergruppen – Benötigen Anpassung.
• Erstellung von Mail-Empfängern – Benutzerdefinierte Anpassung erforderlich.
• Mail-Empfänger – Benötigt Anpassung.
• Nachrichtenverfolgung – Keine Anpassung erforderlich.
• Verschieben Sie Postfächer – Keine Anpassung erforderlich.
• Richtlinien für Empfänger – Managementrolle nicht erforderlich.
• Team-Postfächer – Keine Managementrolle erforderlich.

Folgen wir den unten aufgeführten Schritten, um die „Recipient Management“-Rolle zu erstellen und anzupassen.

1. Erstellen Sie eine neue Rollengruppe „Helpdesk Administrator“ mit dem folgenden PowerShell-Befehl

      New-RoleGroup “HelpDesk Administrator”
      

2. Jetzt arbeiten wir an der Verwaltungsrolle „Distribution Groups“ und finden alle Cmdlets, die für die Verteilergruppe verfügbar sind, bevor sie angepasst wird. Der folgende PowerShell-Befehl wird uns alle ManagementRoleEntry für die Verwaltungsrolle „Distribution Groups“ liefern.

      Get-ManagementRole “Distribution Groups” | Get-ManagementRoleEntry
      

3. Erstellen Sie die neue Managementrolle „Distribution Groups with no Remove“ mit dem untenstehenden Befehl. Dieser Befehl wird eine neue Managementrolle „Distribution Groups with no Remove“ erstellen und kopiert alle Cmdlets, die in „Distribution Groups“ verfügbar sind, in die Managementrolle „Distribution Groups with no Remove“.

      Get-ManagementRole "Distribution Groups" | New-ManagementRole "Distribution Groups with no Remove"
      

4. Entfernen Sie dann alle „Remove-*“ Cmdlets von der Managementrolle „Distribution Groups with no Remove“ mit dem folgenden PowerShell-Befehl.

      Get-ManagementRole "Distribution Groups with no Remove" | Get-ManagementRoleEntry | Where {$_.Name -like "remove*"} | Remove-ManagementRoleEntry -confirm:$false
      

5. Weisen Sie abschließend die angepasste Managementrolle „Distribution Groups with no Remove“ der Rollengruppe „HelpDesk Administrator“ mit dem folgenden Befehl zu.

      New-ManagementRoleAssignment -SecurityGroup "HelpDesk Administrator" -Role "Distribution Groups with no Remove" 
      

6. Damit haben wir die „Distribution Groups“ Management-Rolle angepasst. Jetzt müssen wir die „Mail Recipient Creation“ und „Mail Recipients“ Management-Rolle anpassen.

7. Unten finden Sie den Satz von PowerShell-Befehlen, um die Verwaltungsrolle „Mail Recipient Creation“ anzupassen. Es wird eine neue angepasste Verwaltungsrolle – „Mail Recipient Creation with no Remove“ erstellt und der „HelpDesk Administrator“ Rollengruppe zugewiesen.

      Get-ManagementRole "Mail Recipient Creation" | New-ManagementRole "Mail Recipient Creation with no Remove"

Get-ManagementRole "Mail Recipient Creation with no Remove" | Get-ManagementRoleEntry | Where {$_.Name -like "remove*"} | Remove-ManagementRoleEntry -confirm:$false

New-ManagementRoleAssignment -SecurityGroup "HelpDesk Administrator" -Role "Mail Recipient Creation with no Remove"
      

8. Ebenso finden Sie unten die Reihe von PowerShell-Befehlen, um die Verwaltungsrolle „Mail Recipients“ anzupassen. Es wird eine neue angepasste Verwaltungsrolle – „Mail Recipients with no Remove“ erstellt und der „HelpDesk Administrator“ Rollegruppe zugewiesen.

      Get-ManagementRole "Mail Recipients" | New-ManagementRole "Mail Recipients with no Remove" 

Get-ManagementRole "Mail Recipients with no Remove" | Get-ManagementRoleEntry | where {$_.Name -like "remove*"} | Remove-ManagementRoleEntry -confirm:$false 

New-ManagementRoleAssignment -SecurityGroup "HelpDesk Administrator" -Role "Mail Recipients with no Remove"
      

9. Die Verwaltungsrolle „Message Tracking“ und „Move Mailboxes“ benötigen keine Anpassung, da sie Cmdlets enthalten, die für die Durchführung der Operationen notwendig sind. Die folgenden Befehle weisen die Standardrollen „Message Tracking“ und „Move Mailboxes“ der Rollengruppe „HelpDesk Administrator“ zu

      New-ManagementRoleAssignment –SecurityGroup “HelpDesk Administrator” –Role “Message Tracking”

New-ManagementRoleAssignment –SecurityGroup “HelpDesk Administrator” –Role “Move Mailboxes”
      

10. Fügen Sie abschließend Mitglieder zur Rollengruppe „HelpDesk Administrator“ hinzu, indem Sie den folgenden PowerShell-Befehl verwenden

      Get-RoleGroup “HelpDesk Administrator” | Add-RoleGroupMember –Member Krishna.kumar
      

Schließlich haben wir die vollständig angepasste Rollengruppe „HelpDesk Administrator“. Mitglieder der Gruppe „HelpDesk Administrator“ werden die Berechtigung haben, Postfächer, Verteilergruppen usw. zu erstellen und zu ändern, jedoch nicht die Berechtigung zum Entfernen. Ich hoffe, Sie haben ein gutes Verständnis für die Anpassung von RBAC-Berechtigungen mit PowerShell erhalten.