Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
PowerShell para personalizar permisos RBAC en Exchange 2013

PowerShell para personalizar permisos RBAC en Exchange 2013

Jul 3, 2014

Continuamos la serie “Deep Dive”. En ella podrías encontrar las respuestas a algunas de tus preguntas técnicas. Los expertos de la industria proporcionarán sus perspectivas sobre varios temas e investigarán algunas características nuevas de las aplicaciones más populares. El primer artículo de la serie se puede encontrar aquí. Además, lee más sobre la configuración de Exchange 2013 CAS (Parte 1, Parte 2)! ¡Eres bienvenido para comentarios y discusión!

RBAC es el nuevo modelo de permisos en Exchange 2013. Con RBAC, no necesitamos modificar y gestionar listas de control de acceso (ACLs). Nos permite controlar, tanto a nivel amplio como detallado, lo que el administrador y el usuario final pueden hacer. En Exchange 2013, RBAC ahora controla tanto las tareas administrativas que se pueden realizar como el grado en que los usuarios pueden administrar su propio buzón y grupos de distribución.

El grupo de roles consta de los siguientes componentes que definen lo que pueden hacer los administradores y usuarios especialistas:

  • Grupo de roles de gestión: El grupo de roles de gestión es un grupo de seguridad universal (USG) especial que contiene buzones, usuarios, USGs y otros grupos de roles que son miembros del grupo de roles. Aquí es donde agregas y quitas miembros, y también a lo que se asignan los roles de gestión. La combinación de todos los roles en un grupo de roles define todo lo que los usuarios agregados a un grupo de roles pueden gestionar en la organización de Exchange.
  • Rol de gestión: Un rol de gestión es un contenedor para un agrupamiento de entradas de rol de gestión. Los roles se utilizan para definir las tareas específicas que pueden ser realizadas por los miembros de un grupo asignado a roles. Una entrada de rol de gestión es un cmdlet, script o permiso especial que habilita que cada tarea especificada en el rol tenga que ser realizada.
  • Asignación de rol de gestión: Una asignación de rol de gestión vincula un rol y un grupo de roles. Asignar un rol a un grupo de roles otorga a los miembros del grupo de roles la capacidad de utilizar los cmdlets y parámetros definidos en el rol. Las asignaciones de roles pueden utilizar ámbitos de gestión para controlar dónde se puede utilizar la asignación.
  • Ámbito del rol de gestión: Un ámbito del rol de gestión es el alcance de influencia o impacto en una asignación de rol. Cuando un rol se asigna con un ámbito a un grupo de roles, el ámbito de gestión se dirige específicamente a qué objetos puede gestionar esa asignación. La asignación y su ámbito se otorgan luego a los miembros del grupo de roles y restringen lo que estos miembros pueden gestionar. Un ámbito puede consistir en una lista de servidores o bases de datos, unidades organizativas (OUs) o filtros sobre objetos de servidor, base de datos o destinatario. Tomemos un escenario, donde el equipo de soporte técnico necesita proporcionar el permiso de “Gestión de Destinatarios”, que será responsable de crear y gestionar buzones, crear y gestionar grupos de distribución, mover y migrar buzones y finalmente rastrear los mensajes. Pero el permiso de “Gestión de Destinatarios” también proporcionará derechos de acceso para eliminar y deshabilitar. Este permiso necesita ser restringido para el equipo de soporte técnico. Sigamos los pasos a continuación para personalizar el permiso de gestión de destinatarios.

Para comenzar, entendamos los roles de gestión bajo el grupo de roles “Recipient Management” utilizando el siguiente comando

      Get-Rolegroup “Recipient Management” | Select roles).roles | select name

Image

Necesitamos seleccionar solo el rol de gestión requerido del resultado del comando anterior y personalizarlo para satisfacer nuestro requisito.

  • Grupos de distribución – Necesita personalización.
  • Creación de destinatario de correo – Requiere personalización.
  • Destinatarios del correo – Necesita personalización.
  • Seguimiento de mensajes – No se necesita personalización.
  • Mueva buzones de correo – No se necesita personalización.
  • Políticas de destinatario – No se requiere rol de gestión.
  • Buzones de equipo – No se requiere rol de gestión.

Sigamos los siguientes pasos para crear y personalizar el grupo de roles “Recipient Management”.

1. Cree un nuevo grupo de roles “Helpdesk Administrator” utilizando el siguiente comando de PowerShell

      New-RoleGroup “HelpDesk Administrator”

2. Ahora, trabajemos en el rol de gestión de “Distribution Groups” y busquemos todos los cmdlets disponibles para el Grupo de Distribución, antes de que sea personalizado. El siguiente comando de PowerShell nos proporcionará todas las ManagementRoleEntry para el rol de gestión “Distribution Groups”.

Image 
      Get-ManagementRole “Distribution Groups” | Get-ManagementRoleEntry

3. Cree el nuevo rol de gestión “Distribution Groups with no Remove” utilizando el siguiente comando. Este comando creará un nuevo rol de gestión “Distribution Groups with no Remove” y también copiará todos los cmdlets disponibles en “Distribution Groups” al rol de gestión “Distribution Groups with no Remove”.

Image 
      Get-ManagementRole "Distribution Groups" | New-ManagementRole "Distribution Groups with no Remove"

4. Luego, elimine todos los cmdlets “Remove-*” del rol de administración “Distribution Groups with no Remove” utilizando el siguiente comando de PowerShell.

      Get-ManagementRole "Distribution Groups with no Remove" | Get-ManagementRoleEntry | Where {$_.Name -like "remove*"} | Remove-ManagementRoleEntry -confirm:$false

5. Finalmente, asigne el rol de gestión personalizado “Distribution Groups with no Remove” al grupo de roles “HelpDesk Administrator” utilizando el siguiente comando.

Image 
      New-ManagementRoleAssignment -SecurityGroup "HelpDesk Administrator" -Role "Distribution Groups with no Remove" 

6. Con esto, hemos personalizado el rol de gestión de “Distribution Groups” Ahora, necesitamos personalizar el rol de gestión de “Mail Recipient Creation” y “Mail Recipients”.

7. A continuación se presenta el conjunto de comandos de PowerShell para personalizar el rol de gestión de “Creación de destinatario de correo”. Crea un nuevo rol de gestión personalizado – “Creación de destinatario de correo sin eliminar” y lo asigna al grupo de roles de “HelpDesk Administrator”.

      Get-ManagementRole "Mail Recipient Creation" | New-ManagementRole "Mail Recipient Creation with no Remove"

Get-ManagementRole "Mail Recipient Creation with no Remove" | Get-ManagementRoleEntry | Where {$_.Name -like "remove*"} | Remove-ManagementRoleEntry -confirm:$false

New-ManagementRoleAssignment -SecurityGroup "HelpDesk Administrator" -Role "Mail Recipient Creation with no Remove"

8. De manera similar, a continuación se muestra el conjunto de comandos de PowerShell para personalizar el rol de gestión de “Mail Recipients”. Crea un nuevo rol de gestión personalizado – “Mail Recipients with no Remove” y lo asigna al grupo de roles de “HelpDesk Administrator”.

Image 
      Get-ManagementRole "Mail Recipients" | New-ManagementRole "Mail Recipients with no Remove" 

Get-ManagementRole "Mail Recipients with no Remove" | Get-ManagementRoleEntry | where {$_.Name -like "remove*"} | Remove-ManagementRoleEntry -confirm:$false 

New-ManagementRoleAssignment -SecurityGroup "HelpDesk Administrator" -Role "Mail Recipients with no Remove"

Image

9. El rol de gestión “Message Tracking” y “Move Mailboxes” no necesita ninguna personalización, ya que tienen cmdlets que son necesarios para realizar las operaciones. Los comandos a continuación asignan los Roles predeterminados “Message Tracking” y “Move Mailboxes” al grupo de roles “HelpDesk Administrator

      New-ManagementRoleAssignment –SecurityGroup “HelpDesk Administrator” –Role “Message Tracking”

New-ManagementRoleAssignment –SecurityGroup “HelpDesk Administrator” –Role “Move Mailboxes”

10. Finalmente, agregue miembros al grupo de roles “HelpDesk Administrator” utilizando el siguiente comando de PowerShell

Image 
      Get-RoleGroup “HelpDesk Administrator” | Add-RoleGroupMember –Member Krishna.kumar

Image

Finalmente, tenemos el grupo de roles completamente personalizado “HelpDesk Administrator”. Los miembros del grupo “HelpDesk Administrator” tendrán permiso para crear y modificar buzones, grupos de distribución, etc., pero no el permiso de eliminar. Espero que hayas obtenido un buen entendimiento sobre la personalización de permisos RBAC utilizando PowerShell.

Contenido relacionado seleccionado:

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Krishna Kumar

N/A

Krishna tiene más de 10 años de experiencia en TI, y cuenta con experiencia práctica en Microsoft Exchange, Active Directory, Office 365, PowerShell y VMware. Krishna está certificado con un MCITP y también fue MVP en PowerShell. Krishna también ofrece formación sobre diversos temas de Exchange y PowerShell. Además, mantiene un blog personal que contiene docenas de artículos técnicos sobre varios temas de TI. A Krishna le encanta jugar al cricket y al bádminton, y también disfruta cultivando vegetales orgánicos en su jardín de la terraza.

Aprende más sobre este tema

Crear usuarios de AD en masa y enviar sus credenciales por correo electrónico usando PowerShell

Cómo crear, cambiar y probar contraseñas usando PowerShell

Cómo agregar y eliminar grupos de AD y objetos en grupos con PowerShell

Confianzas en Active Directory

Ataques de ransomware a Active Directory

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad