Role Based Access Control konusunda Management Role Groups’a 2.Bölüm’de bakmıştık. Şimdi ise kullanıcılarımıza kendi mailboxları üzerinde ne tür bir yetkilendirme yapabiliriz ona bakalım. Management Role Assignment Policies sayesinde kullanıcılarımızın neler yapabileceğini belirleyebiliyoruz.
Exchange 2010′da her mailbox’ı bulunan kullanıcıya varsayılan olarak Default Role Assignment Policy atanır.
Get-mailbox “ozan onder” | fl name,roleassignmentpolicy
Resim-1
Default Role Assignment Policy içerisinde bulunan varsayılan rollere de bir bakalım.
Get-ManagementRoleAssignment | ? {$_.Roleassigneename -ilike “Default Role Assignment*”} | ft Roleassignee,role
Resim-2
Default Management Role Assignment Policy’e verilmiş olan 5 tane Role var bu Role’ler kullanıcıya kendi mailbox’ı üzerinde bilgileri değiştirmesine izin veriyor. Örnek “Mycontactinformation” rolüne de bir bakalım.
Get-ManagementRoleEntry “MyContactInformation*” ft name,parameters -wrap
Resim-3
MyContactInformation rolü Default Role Assignment policy’e verildiğinden ve bu policy her kullanıcıya atandığından her kullanıcı kendi mailbox’ı için Set-User, Get-Mailbox’ı yukarıdaki ekran görüntüsünde bulunan parametreler ile çalıştırabilir.
Bu sayede kullanıcılar OWA üzerinden Contact Bilgilerini kendileri değiştirebilirler.
Resim-4
Kullanıcımız Phone, Fax, Mobile Phone bilgisini değiştiriyor.
Resim-5
Resim-6
Ama diyelim ki yapımızda biz kullanıcılarımızın herhangi bir şekilde kendi Phone, Fax, Mobile Phone bilgisini değiştirmelerini istemiyoruz.
Bu durumda adım adım nasıl yaparız örnekleyelim:
1. Yeni bir Role yaratıyoruz.
Aslında bizim istediğimiz değişiklik MyContactInformation rolündeki bir Parametreyi kaldırmak olduğundan MyContactInformation rolünü kopyalıyoruz.
New-ManagementRole “MyContactNOPHONE” -Parent MyContactInformation
Resim-7
2. Yeni bir Role Assignment Policy yaratıyoruz:
New-RoleAssignmentPolicy “IstanbulUsersPolicy”
Resim-8
3. Yeni yarattığımız Policy’e rolleri atıyoruz:
New-ManagementRoleAssignment -Role MyContactNOPHONE -Policy IstanbulUsersPolicy
New-ManagementRoleAssignment -Role MyVoiceMail -Policy IstanbulUsersPolicy
New-ManagementRoleAssignment -Role MyTextMessaging -Policy IstanbulUsersPolicy
New-ManagementRoleAssignment -Role MyBaseOptions -Policy IstanbulUsersPolicy
New-ManagementRoleAssignment -Role MyDistributionGroupMembers -Policy IstanbulUsersPolicy
Resim-9
4. Phone,Fax ve Mobile Phone değiştirilmesin diye parametreleri kaldırıyoruz:
Set-ManagementRoleEntry “MyContactNOPHONESet-User” -Parameters Phone,MobilePhone,Fax -RemoveParameter
Resim-10
5. Kullanıcımıza IstanbulUsersPolicy ismini verdiğimiz Role Assignment Policy’i uyguluyoruz:
Set-Mailbox “Ozan Onder” -RoleAssignmentPolicy “IstanbulUsersPolicy”
Resim-11
Bu işleme Explicit Role Assignment deniyor.
Eğer Default Policy’i bu policy ile değiştirmek isterseniz,
Set-RoleAssignmentPolicy “IstanbulUsersPolicy” -isdefault
komutunu kullanarak organizasyonunuzdaki bütün kullanıcılara uygulayabilirsiniz.
Resim-12
6. Ozan Kullanıcısı ile tekrar deniyoruz:
Kullanıcımız belirttiğimiz alanları artık değiştiremiyor.
Resim-13
Direct User Role Assignment
Son yöntemimiz ise Direct User Role Assignment yöntemi. Management Role Group veya Management Role Assignment Policy kullanmadan direk kullanıcıya rol atamak anlamına geliyor. Bu tek bir kullanıcıya özel ihtiyaçlardan dolayı uygulayabileceğiniz bir yöntem. Eğer grup veya assignment policy kullanarak gerekli yetkileri sağlayamıyorsanız bu yöntem ile kullanıcıya role atayabilirsiniz.
Örnek olarak Ozan kullanıcımız Exchange Serverları yöneteceğinden kullanımıza “Exchange Servers” rolünü verelim.
New-ManagementRoleAssignment -Name “Exchange Servers_Ozan” -Role “Exchange Servers” -User Ozan
RBAC konusu kapsamlı bir konu. Bu konuyu kısaca özetlemeye çalıştım. Örnekler arttırılabilir. RBAC ile ilgili merak ettiğiniz bir konu varsa yorum yazarak sorabilirsiniz. En kısa zamanda geri dönüş yapmaya çalışırım.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
–
