PowerShell per personalizzare i permessi RBAC in Exchange 2013

We continue the “Deep Dive” series. In it you might find the answers to some of your technical questions. The industry experts will provide their insights on several topics and research some new features of most popular applications. The first article of the series can be found here. Also, read more about Exchange 2013 CAS configuration (Part 1, Part 2)! You are welcome for comments and discussion!

RBAC è il nuovo modello di permessi in Exchange 2013. Con RBAC, non è necessario modificare e gestire le liste di controllo degli accessi (ACL). Ci permette di controllare sia a livello ampio che dettagliato, cosa possono fare gli amministratori e gli utenti finali. In Exchange 2013, RBAC ora controlla sia i compiti amministrativi che possono essere eseguiti sia l'estensione con cui gli utenti possono ora amministrare la propria casella di posta e i gruppi di distribuzione.

Il gruppo di ruoli consiste nei seguenti componenti che definiscono ciò che gli amministratori e gli utenti specialisti possono fare:

• Gruppo di ruoli di gestione: Il gruppo di ruoli di gestione è un gruppo di sicurezza universale speciale (USG) che contiene caselle di posta, utenti, USG e altri gruppi di ruoli che sono membri del gruppo di ruoli. Qui è dove si aggiungono e rimuovono membri, ed è anche ciò a cui vengono assegnati i ruoli di gestione. La combinazione di tutti i ruoli in un gruppo di ruoli definisce tutto ciò che gli utenti aggiunti a un gruppo di ruoli possono gestire nell'organizzazione di Exchange.
• Ruolo di gestione: Un ruolo di gestione è un contenitore per un raggruppamento di voci di ruolo di gestione. I ruoli sono utilizzati per definire i compiti specifici che possono essere eseguiti dai membri di un gruppo a cui sono stati assegnati ruoli. Una voce di ruolo di gestione è un cmdlet, script o un permesso speciale che consente di eseguire ogni compito specificato nel ruolo.
• Assegnazione del ruolo di gestione: Un'assegnazione del ruolo di gestione collega un ruolo e un gruppo di ruoli. Assegnare un ruolo a un gruppo di ruoli conferisce ai membri del gruppo di ruoli la capacità di utilizzare i cmdlet e i parametri definiti nel ruolo. Le assegnazioni di ruolo possono utilizzare ambiti di gestione per controllare dove l'assegnazione può essere utilizzata.
• Ambito del ruolo di gestione: Un ambito del ruolo di gestione è l'ambito di influenza o impatto su un'assegnazione di ruolo. Quando un ruolo viene assegnato con un ambito a un gruppo di ruoli, l'ambito di gestione si rivolge specificamente a quali oggetti quell'assegnazione è autorizzata a gestire. L'assegnazione e il suo ambito vengono poi dati ai membri del gruppo di ruoli e limitano ciò che questi membri possono gestire. Un ambito può consistere in un elenco di server o database, unità organizzative (OU) o filtri su oggetti server, database o destinatari. Prendiamo uno scenario, dove il team di assistenza deve fornire il permesso di “Gestione destinatari”, che sarà responsabile della creazione e gestione delle caselle di posta, della creazione e gestione dei gruppi di distribuzione, dello spostamento e della migrazione delle caselle di posta e infine del tracciamento dei messaggi. Ma il permesso di “Gestione destinatari” fornirà anche diritti di accesso per eliminare e disabilitare. Questo permesso deve essere limitato per il team di assistenza. Seguiamo i passaggi seguenti per personalizzare il permesso di gestione dei destinatari.

Per cominciare, cerchiamo di capire i ruoli di gestione sotto il gruppo di ruoli “Recipient Management” utilizzando il comando sottostante

      Get-Rolegroup “Recipient Management” | Select roles).roles | select name
      

Dobbiamo selezionare solo il ruolo di gestione richiesto dal risultato del comando sopra e personalizzarlo per soddisfare le nostre esigenze.

• Gruppi di distribuzione – Richiedono personalizzazione.
• Creazione del destinatario della posta – Richiede personalizzazione.
• Destinatari della posta – Richiede personalizzazione.
• Message Tracking – Nessuna personalizzazione necessaria.
• Sposta caselle di posta – Nessuna personalizzazione necessaria.
• Policy dei destinatari – Ruolo di gestione non richiesto.
• Caselle di posta di squadra – Non è richiesto un ruolo di gestione.

Seguiamo i passaggi seguenti per creare e personalizzare il gruppo di ruoli “Recipient Management”.

1. Crea un nuovo gruppo di ruoli “Helpdesk Administrator” utilizzando il seguente comando PowerShell

      New-RoleGroup “HelpDesk Administrator”
      

2. Ora, lavoriamo sul ruolo di gestione dei “Distribution Groups” e troviamo tutti i cmdlet disponibili per il Distribution Group, prima che venga personalizzato. Il seguente comando PowerShell ci fornirà tutte le ManagementRoleEntry per il ruolo di gestione “Distribution Groups”.

      Get-ManagementRole “Distribution Groups” | Get-ManagementRoleEntry
      

3. Crea il nuovo ruolo di gestione “Distribution Groups with no Remove” utilizzando il comando sottostante. Questo comando creerà un nuovo ruolo di gestione “Distribution Groups with no Remove” e copierà anche tutti i cmdlet disponibili in “Distribution Groups” al ruolo di gestione “Distribution Groups with no Remove”.

      Get-ManagementRole "Distribution Groups" | New-ManagementRole "Distribution Groups with no Remove"
      

4. Quindi, rimuovere tutti i cmdlet “Remove-*” dal ruolo di gestione “Distribution Groups with no Remove” utilizzando il seguente comando PowerShell.

      Get-ManagementRole "Distribution Groups with no Remove" | Get-ManagementRoleEntry | Where {$_.Name -like "remove*"} | Remove-ManagementRoleEntry -confirm:$false
      

5. Infine, assegna il ruolo di gestione personalizzato “Distribution Groups with no Remove” al gruppo di ruoli “HelpDesk Administrator” utilizzando il comando sottostante.

      New-ManagementRoleAssignment -SecurityGroup "HelpDesk Administrator" -Role "Distribution Groups with no Remove" 
      

6. Con questo, abbiamo personalizzato il ruolo di gestione dei “Distribution Groups”. Ora, dobbiamo personalizzare il ruolo di gestione della “Mail Recipient Creation” e dei “Mail Recipients”.

7. Di seguito è riportato l'insieme di comandi PowerShell per personalizzare il ruolo di gestione della “Creazione del destinatario della posta”. Crea un nuovo ruolo di gestione personalizzato – “Creazione del destinatario della posta senza rimozione” e lo assegna al gruppo di ruoli “HelpDesk Administrator”.

      Get-ManagementRole "Mail Recipient Creation" | New-ManagementRole "Mail Recipient Creation with no Remove"

Get-ManagementRole "Mail Recipient Creation with no Remove" | Get-ManagementRoleEntry | Where {$_.Name -like "remove*"} | Remove-ManagementRoleEntry -confirm:$false

New-ManagementRoleAssignment -SecurityGroup "HelpDesk Administrator" -Role "Mail Recipient Creation with no Remove"
      

8. Allo stesso modo, di seguito è riportato l'insieme di comandi PowerShell per personalizzare il ruolo di gestione “Mail Recipients”. Crea un nuovo ruolo di gestione personalizzato – “Mail Recipients with no Remove” e lo assegna al gruppo di ruoli “HelpDesk Administrator”.

      Get-ManagementRole "Mail Recipients" | New-ManagementRole "Mail Recipients with no Remove" 

Get-ManagementRole "Mail Recipients with no Remove" | Get-ManagementRoleEntry | where {$_.Name -like "remove*"} | Remove-ManagementRoleEntry -confirm:$false 

New-ManagementRoleAssignment -SecurityGroup "HelpDesk Administrator" -Role "Mail Recipients with no Remove"
      

9. Il ruolo di gestione “Message Tracking” e “Move Mailboxes” non necessita di personalizzazioni, poiché possiede cmdlet necessari per eseguire le operazioni. I comandi sottostanti assegnano i Ruoli predefiniti “Message Tracking” e “Move Mailboxes” al gruppo di ruoli “HelpDesk Administrator”

      New-ManagementRoleAssignment –SecurityGroup “HelpDesk Administrator” –Role “Message Tracking”

New-ManagementRoleAssignment –SecurityGroup “HelpDesk Administrator” –Role “Move Mailboxes”
      

10. Infine, aggiungete membri al gruppo di ruoli “HelpDesk Administrator” utilizzando il seguente comando PowerShell

      Get-RoleGroup “HelpDesk Administrator” | Add-RoleGroupMember –Member Krishna.kumar
      

Finalmente, abbiamo il gruppo di ruoli completamente personalizzato “HelpDesk Administrator”. I membri del gruppo “HelpDesk Administrator” avranno il permesso di creare e modificare caselle di posta, gruppi di distribuzione ecc., ma non il permesso di rimozione. Spero che abbiate acquisito una buona comprensione della personalizzazione dei permessi RBAC utilizzando PowerShell.