Archive

Articles taggués ‘Exchange 2010’

Comprendre les RBAC Exchange

Les Role-Based Access Control (RBAC) ou contrôle d’accès à base de rôles permettent de définir des droits d’accès de manière très fine. Ils ont été intégrés dans la version Exchange 2010.
La mise en place des délégations aux administrateurs, exploitants et utilisateurs est possible en définissant les droits et l’étendue des droits.
 
vmware
 
ManagementRoleEntry :
C’est une cmdlet. Elle peut être personnalisée en supprimant des paramètres de la cmdlet d’origine.
Une ManagementRoleEntry est associée à un ManagementRole.

ManagementRole :
Les ManagementRole contiennent les ManagementRoleEntry. Il existe des ManagementRole par défaut qui ne sont pas modifiable.
Pour personnaliser un ManagementRole, il est nécessaire d’en créer un nouveau à partir d’un existant. L’existant conservera la fonction de parent sur le nouveau.
Il sera possible de supprimer des ManagementRoleEntry du nouveau ManagementRole mais pas en ajouter si le parent ne possède pas la ManagementRoleEntry souhaité.

ManagementScope :
Le ManagementScope est l’étendue sur laquelle va s’appliquer le ManagementRole. Cette étendue peut contenir des objets serveurs, base de données, destinataires, unités d’organisation ou autres. Ce peut-être des filtre sur les mêmes objets.

RoleGroup :
Il est l’association entre les ManagementRole, les ManagementScope et RoleGroupMember.

RoleGroupMember:
Ce sont les destinataires et utilisateurs membres d’un RoleGroup. Les membres d’un RoleGroup auront les accès définis dans les ManagementRole sur les objets du ManagementScope.
Si un utilisateur est membre de plusieurs RoleGroup, le droit le plus restrictif sera appliqué.

RoleAssignmentPolicy :
Elles associent les rôles de gestion d’utilisateur final aux utilisateurs. Elles vont permettent à des utilisateur de faire des actions sur leur propre boite ou d’autres boites. Les utilisateurs pourront réaliser eux même certaines opérations de configuration.

ManagementRoleAssignment :
C’est un moyen avancée pour attribuer des ManagementRole directement à un utilisateur ou un groupe de sécurité universel sans passer par un RoleGroup ou une RoleAssignmentPolicy. L’utilisation des ManagementRoleAssignment peut complexifier la gestion des RBAC qui l’est déjà suffisamment à mon gout.

Prochainement, on va mettre tout ça en pratique.