Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
PowerShell para Personalizar Permissão RBAC no Exchange 2013

PowerShell para Personalizar Permissão RBAC no Exchange 2013

Jul 3, 2014

Continuamos a série “Aprofundamento”. Nela você pode encontrar as respostas para algumas de suas perguntas técnicas. Os especialistas do setor fornecerão suas percepções sobre vários tópicos e pesquisarão algumas novas funcionalidades das aplicações mais populares. O primeiro artigo da série pode ser encontrado aqui. Leia também mais sobre a configuração do Exchange 2013 CAS (Parte 1, Parte 2)! Seus comentários e discussões são bem-vindos!

RBAC é o novo modelo de permissões no Exchange 2013. Com RBAC, não precisamos modificar e gerenciar listas de controle de acesso (ACLs). Ele nos permite controlar em níveis amplos e granulares o que administradores e usuários finais podem fazer. No Exchange 2013, RBAC agora controla tanto as tarefas administrativas que podem ser realizadas quanto o grau em que os usuários podem administrar suas próprias caixas de correio e grupos de distribuição.

O grupo de funções consiste nos seguintes componentes que definem o que administradores e usuários especialistas podem fazer:

  • Grupo de funções de gestão: O grupo de funções de gestão é um grupo de segurança universal especial (USG) que contém caixas de correio, usuários, USGs e outros grupos de funções que são membros do grupo de funções. É aqui que você adiciona e remove membros, e também a quem as funções de gestão são atribuídas. A combinação de todas as funções em um grupo de funções define tudo o que os usuários adicionados a um grupo de funções podem gerir na organização do Exchange.
  • Função de gestão: Uma função de gestão é um recipiente para um agrupamento de entradas de função de gestão. As funções são usadas para definir as tarefas específicas que podem ser realizadas pelos membros de um grupo a quem foram atribuídas funções. Uma entrada de função de gestão é um cmdlet, script ou permissão especial que permite que cada tarefa especificada na função seja realizada.
  • Atribuição de função de gestão: Uma atribuição de função de gestão liga uma função a um grupo de funções. Atribuir uma função a um grupo de funções concede aos membros do grupo de funções a capacidade de usar os cmdlets e parâmetros definidos na função. As atribuições de função podem usar escopos de gestão para controlar onde a atribuição pode ser usada.
  • Âmbito do papel de gestão: Um âmbito do papel de gestão é o alcance de influência ou impacto numa atribuição de papel. Quando um papel é atribuído com um âmbito a um grupo de papel, o âmbito de gestão alvo especificamente quais objetos essa atribuição está autorizada a gerir. A atribuição, e o seu âmbito, são então dados aos membros do grupo de papel, e restringem o que esses membros podem gerir. Um âmbito pode consistir numa lista de servidores ou bases de dados, unidades organizacionais (OUs), ou filtros em objetos de servidor, base de dados ou destinatário. Vamos considerar um cenário, onde a equipe de suporte técnico precisa fornecer a permissão “Recipient Management”, que será responsável por criar e gerir caixas de correio, criar e gerir grupos de distribuição, mover e migrar caixas de correio e, finalmente, rastrear as mensagens. Mas a permissão “Recipient Management” também fornecerá direitos de acesso para eliminar e desativar. Esta permissão precisa ser restringida para a equipe de suporte técnico. Vamos seguir os passos abaixo para personalizar a permissão de gestão de destinatário.

Para começar, vamos entender as funções de gerenciamento sob o grupo de funções “Recipient Management” usando o comando abaixo

      Get-Rolegroup “Recipient Management” | Select roles).roles | select name

Image

Precisamos selecionar apenas a função de gerenciamento necessária do resultado do comando acima e personalizá-la para atender às nossas necessidades.

  • Grupos de Distribuição – Necessita de Personalização.
  • Criação de Destinatário de Email – Necessita Personalização.
  • Destinatários de E-mail – Necessita Personalização.
  • Rastreamento de Mensagens – Não é necessária personalização.
  • Mova Caixas de Correio – Não é necessária personalização.
  • Políticas de destinatário – Função de gerenciamento não necessária.
  • Caixas de correio de equipe – Função de gerenciamento não necessária.

Vamos seguir os passos abaixo para criar e personalizar o grupo de funções “Recipient Management”.

1. Crie um novo grupo de funções “Helpdesk Administrator” utilizando o seguinte comando PowerShell

      New-RoleGroup “HelpDesk Administrator”

2. Agora, vamos trabalhar na função de gerenciamento “Distribution Groups” e encontrar todos os cmdlets disponíveis para o Grupo de Distribuição, antes de ser personalizado. O comando PowerShell abaixo nos fornecerá todas as ManagementRoleEntry para a função de gerenciamento “Distribution Groups”.

Image 
      Get-ManagementRole “Distribution Groups” | Get-ManagementRoleEntry

3. Crie a nova função de gerenciamento “Distribution Groups with no Remove” utilizando o comando abaixo. Este comando criará uma nova função de gerenciamento “Distribution Groups with no Remove” e também copiará todos os cmdlets disponíveis em “Distribution Groups” para a função de gerenciamento “Distribution Groups with no Remove”.

Image 
      Get-ManagementRole "Distribution Groups" | New-ManagementRole "Distribution Groups with no Remove"

4. Em seguida, remova todos os cmdlets “Remove-*” do papel de gerenciamento “Distribution Groups with no Remove” utilizando o seguinte comando PowerShell.

      Get-ManagementRole "Distribution Groups with no Remove" | Get-ManagementRoleEntry | Where {$_.Name -like "remove*"} | Remove-ManagementRoleEntry -confirm:$false

5. Por fim, atribua a função de gerenciamento personalizada “Distribution Groups with no Remove” ao grupo de funções “HelpDesk Administrator” usando o comando abaixo.

Image 
      New-ManagementRoleAssignment -SecurityGroup "HelpDesk Administrator" -Role "Distribution Groups with no Remove" 

6. Com isso, personalizamos a função de gerenciamento “Distribution Groups” . Agora, precisamos personalizar a função de gerenciamento “Mail Recipient Creation” e “Mail Recipients”.

7. A seguir estão o conjunto de comandos PowerShell para personalizar a função de gerenciamento “Mail Recipient Creation”. Ele cria uma nova função de gerenciamento personalizada – “Mail Recipient Creation with no Remove” e a atribui ao grupo de funções “HelpDesk Administrator”.

      Get-ManagementRole "Mail Recipient Creation" | New-ManagementRole "Mail Recipient Creation with no Remove"

Get-ManagementRole "Mail Recipient Creation with no Remove" | Get-ManagementRoleEntry | Where {$_.Name -like "remove*"} | Remove-ManagementRoleEntry -confirm:$false

New-ManagementRoleAssignment -SecurityGroup "HelpDesk Administrator" -Role "Mail Recipient Creation with no Remove"

8. Da mesma forma, abaixo está o conjunto de comandos PowerShell para personalizar a função de gerenciamento “Mail Recipients”. Ele cria uma nova função de gerenciamento personalizada – “Mail Recipients with no Remove” e a atribui ao grupo de funções “HelpDesk Administrator”.

Image 
      Get-ManagementRole "Mail Recipients" | New-ManagementRole "Mail Recipients with no Remove" 

Get-ManagementRole "Mail Recipients with no Remove" | Get-ManagementRoleEntry | where {$_.Name -like "remove*"} | Remove-ManagementRoleEntry -confirm:$false 

New-ManagementRoleAssignment -SecurityGroup "HelpDesk Administrator" -Role "Mail Recipients with no Remove"

Image

9. As funções de gerenciamento “Message Tracking” e “Move Mailboxes” não precisam de personalização, pois possuem cmdlets que são necessários para realizar as operações. Os comandos abaixo atribuem as funções padrão “Message Tracking” e “Move Mailboxes” ao grupo de funções “HelpDesk Administrator

      New-ManagementRoleAssignment –SecurityGroup “HelpDesk Administrator” –Role “Message Tracking”

New-ManagementRoleAssignment –SecurityGroup “HelpDesk Administrator” –Role “Move Mailboxes”

10. Por fim, adicione membros ao grupo de funções “HelpDesk Administrator” utilizando o comando PowerShell abaixo

Image 
      Get-RoleGroup “HelpDesk Administrator” | Add-RoleGroupMember –Member Krishna.kumar

Image

Finalmente, temos o grupo de funções totalmente personalizado “HelpDesk Administrator”. Os membros do grupo “HelpDesk Administrator” terão permissão para criar e modificar caixa de correio, grupo de distribuição etc., mas não terão permissão para remover. Espero que você tenha obtido um bom entendimento sobre como personalizar permissões RBAC usando PowerShell.

Conteúdo relacionado selecionado:

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Krishna Kumar

N/A

Krishna tem mais de 10 anos de experiência em TI e possui experiência prática com Microsoft Exchange, Active Directory, Office 365, PowerShell e VMware. Krishna é certificado com um MCITP e também foi um MVP em PowerShell. Krishna também oferece treinamentos sobre diversos tópicos de Exchange e PowerShell. Ele também mantém um blog pessoal que contém dezenas de artigos técnicos sobre vários tópicos de TI. Krishna adora jogar críquete e badminton, e também gosta de cultivar vegetais orgânicos em seu jardim na cobertura.

Saiba mais sobre este assunto

Criar usuários do AD em massa e enviar suas credenciais por e-mail usando PowerShell

Como criar, alterar e testar senhas usando PowerShell

Como adicionar e remover grupos AD e objetos nos grupos com PowerShell

Confianças no Active Directory

Ataques de ransomware ao Active Directory

Últimos blogs

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Gerenciamento de configuração para controle seguro de endpoint

Classificação de dados e DLP: Previna a perda de dados, comprove a conformidade

Conformidade com CMMC e o papel crítico do controle de USB estilo MDM na proteção de CUI

DSPM, ASM e ITDR: Construindo uma Estratégia de Segurança Consciente da Exposição e Orientada por Dados

De ruído a ação: transformando risco de dados em resultados mensuráveis

IA no Trabalho: Velocidade, Risco e Por Que a Simplicidade Vence

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Nossos principais artigos

Tipos Comuns de Dispositivos de Rede e Suas Funções

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Como instalar e usar o Active Directory Users and Computers (ADUC)?

Baixe e instale o PowerShell 7

Os Maiores e Mais Notórios Ataques Cibernéticos da História

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Uma visão geral do ataque cibernético da MGM

Extração de Hashes de Senha do arquivo Ntds.dit

Guia para Montar Compartilhamentos Unix com um Cliente NFS do Windows

Como Portas Abertas Inseguras e Vulneráveis Representam Sérios Riscos de Segurança