PowerShell pour personnaliser les permissions RBAC dans Exchange 2013

Nous poursuivons la série « Deep Dive ». Vous pourriez y trouver les réponses à certaines de vos questions techniques. Les experts du secteur fourniront leurs perspectives sur plusieurs sujets et étudieront de nouvelles fonctionnalités des applications les plus populaires. Le premier article de la série peut être trouvé ici. Lisez également plus sur la configuration du CAS Exchange 2013 (Partie 1, Partie 2) ! Vos commentaires et discussions sont les bienvenus !

RBAC est le nouveau modèle de permission dans Exchange 2013. Avec RBAC, nous n'avons pas besoin de modifier et de gérer les listes de contrôle d'accès (ACL). Il nous permet de contrôler à la fois de manière large et détaillée ce que l'administrateur et l'utilisateur final peuvent faire. Dans Exchange 2013, RBAC contrôle désormais à la fois les tâches administratives qui peuvent être effectuées et la mesure dans laquelle les utilisateurs peuvent désormais administrer leur propre boîte aux lettres et groupes de distribution.

Le groupe de rôles se compose des composants suivants qui définissent ce que les administrateurs et les utilisateurs spécialistes peuvent faire :

• Groupe de rôles de gestion: Le groupe de rôles de gestion est un groupe de sécurité universel spécial (USG) qui contient des boîtes aux lettres, des utilisateurs, des USG et d'autres groupes de rôles qui sont membres du groupe de rôles. C'est là que vous ajoutez et retirez des membres, et c'est également à quoi les rôles de gestion sont attribués. La combinaison de tous les rôles sur un groupe de rôles définit tout ce que les utilisateurs ajoutés à un groupe de rôles peuvent gérer dans l'organisation Exchange.
• Rôle de gestion: Un rôle de gestion est un conteneur pour un regroupement d'entrées de rôle de gestion. Les rôles sont utilisés pour définir les tâches spécifiques qui peuvent être effectuées par les membres d'un groupe auxquels des rôles sont attribués. Une entrée de rôle de gestion est une cmdlet, un script ou une permission spéciale qui permet d'exécuter chaque tâche spécifiée dans le rôle.
• Attribution de rôle de gestion: Une attribution de rôle de gestion associe un rôle et un groupe de rôles. Attribuer un rôle à un groupe de rôles donne aux membres du groupe de rôles la capacité d'utiliser les cmdlets et les paramètres définis dans le rôle. Les attributions de rôles peuvent utiliser des étendues de gestion pour contrôler où l'attribution peut être utilisée.
• Portée du rôle de gestion: Une portée du rôle de gestion est l'étendue de l'influence ou de l'impact sur une attribution de rôle. Lorsqu'un rôle est attribué avec une portée à un groupe de rôles, la portée de gestion cible spécifiquement quels objets cette attribution est autorisée à gérer. L'attribution, et sa portée, sont ensuite données aux membres du groupe de rôles, et restreignent ce que ces membres peuvent gérer. Une portée peut consister en une liste de serveurs ou de bases de données, d'unités organisationnelles (UO), ou de filtres sur des objets serveur, base de données ou destinataire. Prenons un scénario, où l'équipe d'assistance technique doit fournir la permission de “Gestion des destinataires”, qui sera responsable de créer et gérer des boîtes aux lettres, de créer et gérer des groupes de distribution, de déplacer et migrer des boîtes aux lettres et enfin de suivre les messages. Mais la permission de “Gestion des destinataires” fournira également des droits d'accès pour supprimer et désactiver. Cette permission doit être restreinte pour l'équipe d'assistance technique. Suivons les étapes ci-dessous pour personnaliser la permission de gestion des destinataires.

Pour commencer, comprenons les rôles de gestion sous le groupe de rôles “Recipient Management” en utilisant la commande ci-dessous

      Get-Rolegroup “Recipient Management” | Select roles).roles | select name
      

Nous devons sélectionner uniquement le rôle de gestion requis parmi les résultats de la commande ci-dessus et le personnaliser pour répondre à nos besoins.

• Groupes de distribution – Nécessite une personnalisation.
• Création de destinataire de courrier – Nécessite une personnalisation.
• Destinataires du courrier – Nécessite une personnalisation.
• Suivi des messages – Aucune personnalisation nécessaire.
• Déplacez les boîtes aux lettres – Aucune personnalisation nécessaire.
• Politiques de destinataire – Rôle de gestion non requis.
• Boîtes aux lettres d'équipe – Aucun rôle de gestion requis.

Suivons les étapes ci-dessous pour créer et personnaliser le groupe de rôles « Recipient Management ».

1. Créez un nouveau groupe de rôles “Helpdesk Administrator” en utilisant la commande PowerShell ci-dessous

      New-RoleGroup “HelpDesk Administrator”
      

2. Maintenant, travaillons sur le rôle de gestion des “Distribution Groups” et trouvons toutes les cmdlets disponibles pour le groupe de distribution, avant qu'il ne soit personnalisé. La commande PowerShell ci-dessous nous fournira toutes les ManagementRoleEntry pour le rôle de gestion “Distribution Groups”.

      Get-ManagementRole “Distribution Groups” | Get-ManagementRoleEntry
      

3. Créez le nouveau rôle de gestion “Distribution Groups with no Remove” en utilisant la commande ci-dessous. Cette commande va créer un nouveau rôle de gestion “Distribution Groups with no Remove” et copiera également toutes les cmdlets disponibles dans “Distribution Groups” vers le rôle de gestion “Distribution Groups with no Remove”.

      Get-ManagementRole "Distribution Groups" | New-ManagementRole "Distribution Groups with no Remove"
      

4. Ensuite, retirez tous les cmdlets “Remove-*” du rôle de gestion “Distribution Groups with no Remove” en utilisant la commande PowerShell ci-dessous.

      Get-ManagementRole "Distribution Groups with no Remove" | Get-ManagementRoleEntry | Where {$_.Name -like "remove*"} | Remove-ManagementRoleEntry -confirm:$false
      

5. Enfin, attribuez le rôle de gestion personnalisé “Distribution Groups with no Remove” au groupe de rôles “HelpDesk Administrator” en utilisant la commande ci-dessous.

      New-ManagementRoleAssignment -SecurityGroup "HelpDesk Administrator" -Role "Distribution Groups with no Remove" 
      

6. Avec cela, nous avons personnalisé le rôle de gestion des “Distribution Groups” et maintenant, nous devons personnaliser le rôle de gestion de la “Mail Recipient Creation” et des “Mail Recipients”.

7. Below are the set of PowerShell commands to customize the “Mail Recipient Creation” management role. It creates a new customized management role – “Mail Recipient Creation with no Remove” and assign it to the “HelpDesk Administrator”role group.

      Get-ManagementRole "Mail Recipient Creation" | New-ManagementRole "Mail Recipient Creation with no Remove"

Get-ManagementRole "Mail Recipient Creation with no Remove" | Get-ManagementRoleEntry | Where {$_.Name -like "remove*"} | Remove-ManagementRoleEntry -confirm:$false

New-ManagementRoleAssignment -SecurityGroup "HelpDesk Administrator" -Role "Mail Recipient Creation with no Remove"
      

8. De même, ci-dessous se trouve l'ensemble des commandes PowerShell pour personnaliser le rôle de gestion « Mail Recipients ». Cela crée un nouveau rôle de gestion personnalisé – « Mail Recipients with no Remove » et l'attribue au groupe de rôles « HelpDesk Administrator » .

      Get-ManagementRole "Mail Recipients" | New-ManagementRole "Mail Recipients with no Remove" 

Get-ManagementRole "Mail Recipients with no Remove" | Get-ManagementRoleEntry | where {$_.Name -like "remove*"} | Remove-ManagementRoleEntry -confirm:$false 

New-ManagementRoleAssignment -SecurityGroup "HelpDesk Administrator" -Role "Mail Recipients with no Remove"
      

9. Le rôle de gestion “Message Tracking” et “Move Mailboxes” ne nécessite aucune personnalisation, car ils possèdent les cmdlets nécessaires pour effectuer les opérations. Les commandes ci-dessous ont attribué les rôles par défaut “Message Tracking” et “Move Mailboxes” au groupe de rôles “HelpDesk Administrator”

      New-ManagementRoleAssignment –SecurityGroup “HelpDesk Administrator” –Role “Message Tracking”

New-ManagementRoleAssignment –SecurityGroup “HelpDesk Administrator” –Role “Move Mailboxes”
      

10. Enfin, ajoutez des membres au groupe de rôles « HelpDesk Administrator » en utilisant la commande PowerShell ci-dessous

      Get-RoleGroup “HelpDesk Administrator” | Add-RoleGroupMember –Member Krishna.kumar
      

Enfin, nous avons le groupe de rôles entièrement personnalisé « HelpDesk Administrator ». Les membres du groupe « HelpDesk Administrator » auront la permission de créer et de modifier des boîtes aux lettres, des groupes de distribution, etc., mais pas la permission de suppression. J'espère que vous avez acquis une bonne compréhension de la personnalisation des permissions RBAC en utilisant PowerShell.