Exchange Server 2010 ile Split Permissions kavramı karşımıza çıkmaya başladı ve 2016 ile beraber artık kurulum seçenekleri arasında yer alıyor.
Exchange Organization adımında özel bir organizasyon adı tanımı yapacağımız kısımda bir tercih olarak karşımıza çıkıyor.
Küçük yapılar için bir tercih nedeni olmasa da büyük yapılar için ideal bir çözüm olacağını söyleyebiliriz.
Peki, Permissions Kavramı nedir?
Bu kavram AD yapısını ve Exchange Organizasyon yapısının nasıl ve kimin yöneteceğini belirleyen güvenlik modelleridir. Standart, Split (AD) ve Split (RBAC) Permissions olarak 3’e ayılır.
Tamam ama, Bunlar nedir?
1. Shared Permission Model
Varsayılan güvenlik modelidir. Exchange Management veya Active Directory araçları kullanılarak kullanıcı oluşturulabilir. Yine varsayılan olarak Recipient Management ve Organization Management rol grupları Active Directory obejeleri oluşturabilir.
Management Role
Role Group
Organization Management
Recipient Management
–Security Group Creation and Membership role
2. Split permissions Model
Exchange 2013 obejeleri ve Active Directory obejeleri organiasyonları ayrı yönetimini sağlayan Split (bölünmüş) Permissions modeli. Bölünmüş izinler örgüt içinde belirli gruplara özgü izinler ve ilgili görevlerin atanmasını sağlar. Bu işlem bize iş bölümü standartları oluşturur ve iş akışlarını korumaya yardımcı olur böylelikle organizasyon üzerinde değişiklikleri kontrol altında tutar.
a) RBAC split permissions
İzinler Active Directory domain bölümünün güvenlik ilkeleri Rol Tabanlı Erişim Kontrolü (RBAC) tarafından kontrol edilir. Sadece Exchange ve servislerine ait güvenlik ilkelerini uygun rol grupları oluşturabilir.
b) Active Directory split permissions
Active Directory “Domain (2)” bölümünden sadece sorumluların müdahale edebilmesi için exchange user ve servislerini güvenlik ilkelerinden kaldırılır.
Not (1) : Eğer Exchange Server’i Domain Controller üzerine kurduysanız Active Directory split permissions özelliği aktif edilemez. Ayrıca Microsoft, Exchange ve AD’nin aynı sunucuya kurulmasını asla önermiyor.
Not (2) : Active Directory veri tabanı bölümlerinden olan “Domain bölümünde” bilgisayar, kullanıcı, grup objeleri yer alıyor. “Configuration bölümünde” servislere (Exchange servisi) ait olan yapılandırmalar bulunuyor.
Not (3) : Split permission burada “Domain bölümü” yönetimini sadece AD yönetici ve gruplarına atıyor. “Configuration bölümü” ise yönetimi varolan servise ait yapılandırma yöneticilerine atıyor.
Nasıl Devre Dışı Bırakılır?
Split Permissions devre dışı bırakmak için aşağıda ki komutu Exchange Setup bulunan dizinde CMD ile uygulayabilirsiniz.
Devre dışı olduğunda Shared Permissions güvenlik modeline geçer.
1) Split Permissions devre dışı bırakmak,
setup.exe / PrepareAD / ActiveDirectorySplitPermissions: false
2) Mail Recipient Creation rol, Security Group Creation, Management rol, Organization Management ve Recipient Management rol gruplarının arasında düzenli rol atamalarını sağlamak için aşağıdaki komutları çalıştırın. Komutlardan zaten hangi rol için yapılacak işlemi görebilirsiniz.
New-ManagementRoleAssignment “Mail Recipient Creation_Organization Management” -Role “Mail Recipient Creation” -SecurityGroup “Organization Management”
New-ManagementRoleAssignment “Security Group Creation and Membership_Org Management” -Role “Security Group Creation and Membership” -SecurityGroup “Organization Management”
New-ManagementRoleAssignment “Mail Recipient Creation_Recipient Management” -Role “Mail Recipient Creation” -SecurityGroup “Recipient Management”
3) Exchange Server’i restart edin.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
www.mshowto.org
Understanding split permissions
Configure Exchange 2013 for shared permissions
