İlginizi Çekebilir
  1. Ana Sayfa
  2. Exchange Server 2016
  3. Exchange Server 2016 Split Permissions Kavramı Açıklaması

Exchange Server 2016 Split Permissions Kavramı Açıklaması

Exchange Server 2010 ile Split Permissions kavramı karşımıza çıkmaya başladı ve 2016 ile beraber artık kurulum seçenekleri arasında yer alıyor.

Exchange Organization adımında özel bir organizasyon adı tanımı yapacağımız kısımda bir tercih olarak karşımıza çıkıyor.

Küçük yapılar için bir tercih nedeni olmasa da büyük yapılar için ideal bir çözüm olacağını söyleyebiliriz.

Peki, Permissions Kavramı nedir?

Bu kavram AD yapısını ve Exchange Organizasyon yapısının nasıl ve kimin yöneteceğini belirleyen güvenlik modelleridir. Standart, Split (AD) ve Split (RBAC) Permissions olarak 3’e ayılır.

Tamam ama,  Bunlar nedir?

1. Shared Permission Model

Varsayılan güvenlik modelidir. Exchange Management veya Active Directory araçları kullanılarak kullanıcı oluşturulabilir. Yine varsayılan olarak Recipient Management ve Organization Management rol grupları  Active Directory obejeleri oluşturabilir.

Management Role

Role Group

Mail Recipient Creation role

Organization Management
Recipient Management

Security Group Creation and Membership role

Organization Management

2. Split permissions Model

Exchange 2013 obejeleri ve Active Directory obejeleri  organiasyonları ayrı yönetimini sağlayan Split (bölünmüş) Permissions modeli. Bölünmüş izinler örgüt içinde belirli gruplara özgü izinler ve ilgili görevlerin atanmasını sağlar. Bu işlem bize iş bölümü standartları oluşturur ve iş akışlarını korumaya yardımcı olur böylelikle organizasyon üzerinde değişiklikleri kontrol altında tutar.

a) RBAC split permissions

İzinler Active Directory  domain bölümünün güvenlik ilkeleri Rol Tabanlı Erişim Kontrolü (RBAC) tarafından kontrol edilir. Sadece Exchange ve servislerine ait güvenlik ilkelerini uygun rol grupları oluşturabilir.

b) Active Directory split permissions

Active Directory “Domain (2)” bölümünden sadece sorumluların müdahale edebilmesi için exchange user ve servislerini güvenlik ilkelerinden kaldırılır.

Not (1) : Eğer Exchange Server’i Domain Controller üzerine kurduysanız Active Directory split permissions özelliği aktif edilemez. Ayrıca Microsoft, Exchange ve AD’nin aynı sunucuya kurulmasını asla önermiyor.

Not (2) : Active Directory veri tabanı bölümlerinden olan “Domain bölümünde” bilgisayar, kullanıcı, grup objeleri yer alıyor. “Configuration bölümünde” servislere (Exchange servisi) ait olan yapılandırmalar bulunuyor.

Not (3) : Split permission burada “Domain bölümü” yönetimini sadece AD yönetici ve gruplarına atıyor. “Configuration bölümü” ise yönetimi varolan servise ait yapılandırma yöneticilerine atıyor.

Nasıl Devre Dışı Bırakılır?

Split Permissions devre dışı bırakmak için aşağıda ki komutu Exchange Setup bulunan dizinde CMD ile uygulayabilirsiniz.

Devre dışı olduğunda Shared Permissions güvenlik modeline geçer.

1) Split Permissions devre dışı bırakmak,

setup.exe / PrepareAD / ActiveDirectorySplitPermissions: false

2) Mail Recipient Creation rol, Security Group Creation, Management rol, Organization Management ve Recipient Management rol gruplarının arasında düzenli rol atamalarını sağlamak için aşağıdaki komutları çalıştırın. Komutlardan zaten hangi rol için yapılacak işlemi görebilirsiniz.

New-ManagementRoleAssignment “Mail Recipient Creation_Organization Management” -Role “Mail Recipient Creation” -SecurityGroup “Organization Management”

New-ManagementRoleAssignment “Security Group Creation and Membership_Org Management” -Role “Security Group Creation and Membership” -SecurityGroup “Organization Management”

New-ManagementRoleAssignment “Mail Recipient Creation_Recipient Management” -Role “Mail Recipient Creation” -SecurityGroup “Recipient Management”

3) Exchange Server’i restart edin.

Bu konuyla ilgili sorularınızı https://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

www.mshowto.org
Understanding split permissions
Configure Exchange 2013 for shared permissions

Yorum Yap

Yazar Hakkında

Uğur, İstanbul'da doğdu. Ayvansaray Üniversitesi & Bilge Adam tarafından hazırlanan İnternet ve Ağ Teknolojileri bölümünü bitirdi. Lisansını tamamladıktan sonra, AYU Siber Güvenlik YL'a başladı. Bilge Adam, İsimtescil, Goldmaster/MaestroPanel firmalarında görev aldı. Kariyerine BDH\NETAŞ firmasında Kurumsal Sistem ve Danışmanlık Hizmetlerinde Uzman olarak devam ediyor.

Yorum Yap