Exchange 2010 permet l’utilisation de Role Based Access Control (RBAC) pour la gestion des rôles d’administration.
Voici la méthode que j’ai utilisé pour mettre en place des autorisations spécifiques pour des opérateurs de comptes sur les boites aux lettres présentent dans une OU.
L’objectif est de permettre à ces opérateurs de gérer les boites aux lettres des cette OU sans qu’ils puissent modifier les droits d’accès sur ces boites aux lettres sensibles.
La première étape est de créer un rôle de management à partir du rôle « Mail Recipients ».
New-ManagementRole -Name "Gestion des destinataires Finance" -Parent "Mail Recipients"
Name RoleType
---- --------
Gestion des destinataires Finance MailRecipients
Ce nouveau rôle de management a hérité des entrés de présentent dans le rôle « Mail Recipients ».
Il faut donc que les entrés de rôle que je souhaite retirées.
Pour cette demande, il faut que je retire les entrés « Add-MailboxPermission », « Remove-MailboxPermission », « Add-MailboxFolderPermission » et « Remove-MailboxFolderPermission ».
Je contrôle la présence des ces entrés avec la commande suivante:
Get-ManagementRoleEntry "Gestion des destinataires Finance\*" | Where-Object { $_.name -like "Add-Mailbox*"}
Name Role Parameters
---- ---- ----------
Add-MailboxFolderPermission Gestion des destinatai... {AccessRights, Confirm, Debug, DomainController,ErrorActio...
Add-MailboxPermission Gestion des destinatai... {AccessRights, Confirm, Debug, Deny, DomainController,Erro...
Get-ManagementRoleEntry "Gestion des destinataires Finance\*" | Where-Object { $_.name -like "Remove-Mailbox*"}
Name Role Parameters
---- ---- ----------
Remove-MailboxFolderPermission Gestion des destinatai... {Confirm, Debug, DomainController, ErrorAction,ErrorVariab...
Remove-MailboxPermission Gestion des destinatai... {AccessRights, Confirm, Debug, Deny, DomainController,Erro...
Je supprime ces entrés avec la commande suivante:
Get-ManagementRoleEntry "Gestion des destinataires Finance\*" | Where-Object { $_.name -like "Add-Mailbox*"} | Remove-ManagementRoleEntry -Confirm:$false
Get-ManagementRoleEntry "Gestion des destinataires Finance\*" | Where-Object { $_.name -like "Remove-Mailbox*"} | Remove-ManagementRoleEntry -Confirm:$false
Je contrôle la suppression:
Get-ManagementRoleEntry "Gestion des destinataires Finance\*" | Where-Object { $_.name -like "Add-Mailbox*"}
Get-ManagementRoleEntry "Gestion des destinataires Finance\*" | Where-Object { $_.name -like "Remove-Mailbox*"}
Je crée un nouveau scope de management qui inclut tous les destinataires de l’OU que je souhaite.
New-ManagementScope -Name "Destinataires Finance" -RecipientRoot "domain.local/Finance" -RecipientRestrictionFilter {(RecipientType -eq "*")}
Name ScopeRestrictionType Exclusive RecipientRoot RecipientFilter ServerFilter
---- -------------------- --------- ------------- --------------- ------------
Destinataires Fi... RecipientScope False domain.local/Dir... RecipientType -l...
Je crée pour finir un groupe de rôle avec les paramètres de scope, de rôle et en y ajoutant un utilisateur.
New-RoleGroup -Name "Support Utilisateurs Finance" -CustomRecipientWriteScope "Destinataires Finance" -Roles "Gestion des destinataires Finance" -Members b.simpson
Name AssignedRoles RoleAssignments ManagedBy
---- ------------- --------------- ---------
Support Utilisateurs Fina ... {Gestion des destinataires... {Gestion des destinataire ... {domain.local/Micro...
Je pourrai par la suite ajouter des membres ou des groupes avec la commande:
Add-RoleGroupMember -Identity "Support Utilisateurs Finance" -Member gg_adminsfin