Archive

Articles taggués ‘RBAC’

Comprendre les RBAC Exchange

Les Role-Based Access Control (RBAC) ou contrôle d’accès à base de rôles permettent de définir des droits d’accès de manière très fine. Ils ont été intégrés dans la version Exchange 2010.
La mise en place des délégations aux administrateurs, exploitants et utilisateurs est possible en définissant les droits et l’étendue des droits.
 
vmware
 
ManagementRoleEntry :
C’est une cmdlet. Elle peut être personnalisée en supprimant des paramètres de la cmdlet d’origine.
Une ManagementRoleEntry est associée à un ManagementRole.

ManagementRole :
Les ManagementRole contiennent les ManagementRoleEntry. Il existe des ManagementRole par défaut qui ne sont pas modifiable.
Pour personnaliser un ManagementRole, il est nécessaire d’en créer un nouveau à partir d’un existant. L’existant conservera la fonction de parent sur le nouveau.
Il sera possible de supprimer des ManagementRoleEntry du nouveau ManagementRole mais pas en ajouter si le parent ne possède pas la ManagementRoleEntry souhaité.

ManagementScope :
Le ManagementScope est l’étendue sur laquelle va s’appliquer le ManagementRole. Cette étendue peut contenir des objets serveurs, base de données, destinataires, unités d’organisation ou autres. Ce peut-être des filtre sur les mêmes objets.

RoleGroup :
Il est l’association entre les ManagementRole, les ManagementScope et RoleGroupMember.

RoleGroupMember:
Ce sont les destinataires et utilisateurs membres d’un RoleGroup. Les membres d’un RoleGroup auront les accès définis dans les ManagementRole sur les objets du ManagementScope.
Si un utilisateur est membre de plusieurs RoleGroup, le droit le plus restrictif sera appliqué.

RoleAssignmentPolicy :
Elles associent les rôles de gestion d’utilisateur final aux utilisateurs. Elles vont permettent à des utilisateur de faire des actions sur leur propre boite ou d’autres boites. Les utilisateurs pourront réaliser eux même certaines opérations de configuration.

ManagementRoleAssignment :
C’est un moyen avancée pour attribuer des ManagementRole directement à un utilisateur ou un groupe de sécurité universel sans passer par un RoleGroup ou une RoleAssignmentPolicy. L’utilisation des ManagementRoleAssignment peut complexifier la gestion des RBAC qui l’est déjà suffisamment à mon gout.

Prochainement, on va mettre tout ça en pratique.

Gestion des rôles d’administration avec RBAC

Exchange 2010 permet l’utilisation de Role Based Access Control (RBAC) pour la gestion des rôles d’administration.
Voici la méthode que j’ai utilisé pour mettre en place des autorisations spécifiques pour des opérateurs de comptes sur les boites aux lettres présentent dans une OU.
L’objectif est de permettre à ces opérateurs de gérer les boites aux lettres des cette OU sans qu’ils puissent modifier les droits d’accès sur ces boites aux lettres sensibles.

La première étape est de créer un rôle de management à partir du rôle « Mail Recipients ».

?View Code POWERSHELL
New-ManagementRole -Name "Gestion des destinataires Finance" -Parent "Mail Recipients"
 
Name                                                        RoleType                                                   
----                                                        --------                                                  
Gestion des destinataires Finance                           MailRecipients

Ce nouveau rôle de management a hérité des entrés de présentent dans le rôle « Mail Recipients ».
Il faut donc que les entrés de rôle que je souhaite retirées.
Pour cette demande, il faut que je retire les entrés « Add-MailboxPermission », « Remove-MailboxPermission », « Add-MailboxFolderPermission » et « Remove-MailboxFolderPermission ».
Je contrôle la présence des ces entrés avec la commande suivante:

?View Code POWERSHELL
Get-ManagementRoleEntry "Gestion des destinataires Finance\*" | Where-Object { $_.name -like "Add-Mailbox*"}
 
Name                           Role                      Parameters                                                    
----                           ----                      ----------                                                   
Add-MailboxFolderPermission    Gestion des destinatai... {AccessRights, Confirm, Debug, DomainController,ErrorActio...
Add-MailboxPermission          Gestion des destinatai... {AccessRights, Confirm, Debug, Deny, DomainController,Erro...
 
Get-ManagementRoleEntry "Gestion des destinataires Finance\*" | Where-Object { $_.name -like "Remove-Mailbox*"}
 
Name                           Role                      Parameters                                                   
----                           ----                      ----------                                                   
Remove-MailboxFolderPermission Gestion des destinatai... {Confirm, Debug, DomainController, ErrorAction,ErrorVariab...
Remove-MailboxPermission       Gestion des destinatai... {AccessRights, Confirm, Debug, Deny, DomainController,Erro...

Je supprime ces entrés avec la commande suivante:

?View Code POWERSHELL
Get-ManagementRoleEntry "Gestion des destinataires Finance\*" | Where-Object { $_.name -like "Add-Mailbox*"} | Remove-ManagementRoleEntry -Confirm:$false
Get-ManagementRoleEntry "Gestion des destinataires Finance\*" | Where-Object { $_.name -like "Remove-Mailbox*"} | Remove-ManagementRoleEntry -Confirm:$false

Je contrôle la suppression:

?View Code POWERSHELL
Get-ManagementRoleEntry "Gestion des destinataires Finance\*" | Where-Object { $_.name -like "Add-Mailbox*"}
Get-ManagementRoleEntry "Gestion des destinataires Finance\*" | Where-Object { $_.name -like "Remove-Mailbox*"}

Je crée un nouveau scope de management qui inclut tous les destinataires de l’OU que je souhaite.

?View Code POWERSHELL
New-ManagementScope -Name "Destinataires Finance" -RecipientRoot "domain.local/Finance" -RecipientRestrictionFilter {(RecipientType -eq "*")}
 
Name                ScopeRestrictionType Exclusive           RecipientRoot       RecipientFilter     ServerFilter      
----                -------------------- ---------           -------------       ---------------     ------------     
Destinataires Fi... RecipientScope       False               domain.local/Dir... RecipientType -l...

Je crée pour finir un groupe de rôle avec les paramètres de scope, de rôle et en y ajoutant un utilisateur.

?View Code POWERSHELL
New-RoleGroup -Name "Support Utilisateurs Finance" -CustomRecipientWriteScope "Destinataires Finance" -Roles "Gestion des destinataires Finance" -Members b.simpson
 
Name                          AssignedRoles                 RoleAssignments               ManagedBy                   
----                          -------------                 ---------------               ---------                   
Support Utilisateurs Fina ... {Gestion des destinataires... {Gestion des destinataire ... {domain.local/Micro...

Je pourrai par la suite ajouter des membres ou des groupes avec la commande:

?View Code POWERSHELL
 Add-RoleGroupMember -Identity "Support Utilisateurs Finance" -Member gg_adminsfin
Categories: Exchange 2010 Tags: , ,