RBAC’de yetki verirken sistem yöneticileri ve kullanıcılar için izleyebileceğimiz iki ana yol olduğunu birinci bölümde belirtmiştim. Yazımın bu bölümünde bu yöntemlerden ilki olan Management Role Groups (Yönetim Rolü Grupları)’u inceleyeceğiz.
- Management Role Group: Sistem yöneticisi ve/veya sistem uzmanlarımıza yetki ve görevleri atamayı sadeleştirmeyi sağlayan Universal Security Grouplardır. Bu gruplara gerekli yetkileri (Management Roles) vererek belirleyeceğimiz kapsamdaki (Scope) kullanıcı, distribution groupları gibi öğeleri yönetebiliriz. Bu grubun üyelerinin hepsinde aynı yetki olacağından kullanıcılara tek tek rol vermek yerine gruplar ile yönetim kolaylığı sağlanacaktır. Yazımın birinci bölümünde Exchange 2010 ile gelen varsayılan grupları belirtmiştim.
- Role holder: Management Role Group’a dahil ettiğiniz kullanıcılar Role Holder olarak adlandırılır.
- Management role assignment: Management Role Group ile atanan management role arasındaki bağlantıdır.
- Management role scope: Management Role Group’un hangi kapsamı yöneteceğini belirtir. Burada kapsam sunucular, Organizational Unit (OU) veya belli bir filtre ile ayrıştırılmış kullanıcılar olabilir.
- Management role: Management Role Group üyelerinin (Role Holders) hangi göreve sahip olacağını belirtir. Management Role ‘ler kullanılabilecek komutlar topluluğudur da diyebiliriz. Örneğin: Active Directory Permissions Role, Address Lists Role, ApplicationImpersonation Role, Audit Logs Role, cmdlet Extension Agents Role, Database Availability Groups Role, Database Copies Role, Databases Role. Bu roller sayesinde örneğin Audit Logs Role’a sahip bir grup audit loglar ile ilgili belirtilen scope doğrultusunda tüm işlemleri yapabilir.
- Management role entries: Genellikle Management Role Group’a atanabilecek ve bu grup tarafından kullanılabilecek tek bir komut veya parametredir.
Resim-1
Aslında Management Role Group yapısını düzenlemeden önce yapılması gereken planlama mantık olarak çok zor değil. Cevaplamamız gereken 3 soru var:
Kim-Nereye-Ne Yapacak?
- Role Holderları bulmak için: Kim?
- Management Role Scope’u bulmak için: Nereye?
- Ve son olarak Management Role veya Management Role Entries’i belirlemek için: Ne Yapacak?
Bu sorunların cevabını aldığımız zaman Management Role Group’u oluşturmak için hazır sayılırız. Şimdi bu tanımları ve yapıyı daha iyi anlamak açısından Management Role Group yapısını örneklendirelim:
İstanbul’da bulunan çalışanlarımız için Mailboxlarının databaseler arasında taşınma yetkisini İlknur Çiğdem Varoğlu ve Mehmet Aydın adlı Help Desk kullanıcılarıma vermek istiyorum. Bunun yanında bu grubun üyelerinin yönetimini de Gökhan Özdamar adlı kullanıcımızın yapmasını istiyorum. Bu yapıyı Management Role Group kullarak yapacağımdan grubumun adınıda “Istanbul Helpdesk” olarak ayarlayacağım.
Özet olarak:
- Management Role Group: Istanbul Helpdesk
- Role Holders: İlknur Çiğdem Varoğlu, Mehmet Aydın
- Role Group Management User: Gökhan Özdamar
- Management Role Scope: Istanbul Users OU
- Management Role: User Accounts için Move Mailboxes
1. Öncelikle Management Role Scope yaratarak başlıyoruz:
New-ManagementScope -Name “Istanbul Users Mailboxes” -RecipientRestrictionFilter { RecipientType -eq ‘usermailbox’ } -RecipientRoot “getmailbox.org/Istanbul Users”
Resim-2
2. Management Role Group yaratıyoruz:
New-RoleGroup -Name “Istanbul Helpdesk” -Roles “Move Mailboxes” -ManagedBy “Gokhan Ozdamar” -Members “Ilknur Cigdem Varoglu”, “Mehmet Aydin” -CustomRecipientWriteScope “Istanbul Users Mailboxes”
Resim-3
Resim-4
Role group’u Active Directory’de görebiliyoruz:
Resim-5
3. Kullanıcımız ile deneme yapıyoruz:
İlknur Çiğdem kullanıcısı ile EMC’u açtığımız zaman yetkilerine göre erişebildiği fonksiyonların geldiğini görüyoruz.
Resim-6
Başka bir OU’da bulunan kullanıcının mailbox’ını taşımaya çalıştığımızda hata alıyoruz.
Resim-7
Yetkimiz olan OU’da bulunan kullanıcının mailbox’ını taşıyabiliyoruz.
Resim-8
Kullanıcıyı taşıyabiliyoruz ama başka hiçbir bilgisini değiştiremiyoruz.
Resim-9
Management Role Groupları sayesinde Exchange 2010′da iyi bir planlama ile yetkileri yönetmek daha kolay olacaktır.
Bir başka örnek olması açısından. Bir Management grup yaratıp sadece Istanbul Users OU üzerinde “Send on Behalf” yetkisi verelim:
New-ManagementRole -Name “IstanbulSendOnBehalf” -Parent “Mail Recipients”
Get-ManagementRoleEntry “IstanbulSendOnBehalf*” | where {($_.Name –notlike “Set-Mailbox”) –and ($_.Name –notlike “Get-Mailbox”)} | Remove-ManagementRoleEntry -Confirm $false
Set-ManagementRoleentry “IstanbulSendOnBehalfSet-Mailbox” -Parameters GrantSendOnBehalfTo, Identity
New-RoleGroup -Name “Istanbul SendOnBehalf Yetkilileri” -Roles “IstanbulSendOnBehalf” -CustomRecipientWriteScope “Istanbul Users Mailboxes”
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
–
