Bu yazımızda Exchange Server 2010 ile birlikte gelen özelliklerden bir tanesi olan RBAC (Role Based Access Control) özelliklerini ele alacağız. Bu yazımızın sonunda şu konularda bilgi sahibi olmanız beklenmektedir;
- RBAC Nedir?
- Built-in RBAC Grouplar nelerdir ? Yetkileri nelerdir?
- Farklı yetkilere sahip RBAC Group nasıl oluşturulur ve yetkiler nasıl tanımlanır?
- Bir kullanıcı RBAC Group’a nasıl eklenir çıkarılır ?
- RBAC Group’a yetki ekleme veya çıkarma nasıl yapılır ?
Yukarıda beklentileri belirlenen konulardan ilki olan RBAC nedir ? Sorusunuzun cevabını devamı gelen satırlarda bulacaksınız;
RBAC Nedir ?
RBAC, Exchange Server 2007 ile başlayan ve sonrasında Exchange Server 2010 ile geliştirilen Exchange Server yönetim ve hizmet sürekliliği için tasarlanmış bir kullanıcı/grup yetkilendirme sistemidir. Bu yapıda mevcut Exchange Server kurulumu sonrasında built-in olarak tanımlanmış guruplar bulunmaktadır. Bu gurupların belirlenmiş yetki tanımları bulunmaktadır. Exchange Server üzerinde farklı (Exchange Server Installation User dışında) kullanıcılar ile işlemler v.b. konfigürasyonlar yapabilmek için bu grupların üyesi olması gerekmektedir.
Kısaca Exchange Server 2010 yapısı üzerinde yer alan bileşenler ile ilgili yönetimsel işlevlerin yürütülebilmesi için tasarlanmış kullanıcı/grup erişim seviyesini tanımlayan system RBAC olarak adlandırılır.
Yazımızın ilk kısımlarında belirttiğimiz üzere Exchange Server 2010 kurulumu sonrasında Active Directory üzerinde varsayılan olarak gelen ve belirli yetkilere sahip gruplar oluşturulmaktadır. Bu grupların ne olduğuna ve ne gibi yetkilere sahip olduklarına kısaca bir göz atacağız;
RBAC Built-in Group’lar nelerdir ? Yetkileri Nelerdir ?
- Organization Management
- View-Only Organization Management
- Recipient Management
- UM Management
- Help Desk
- Hygiene Management
- Records Management
- Discovery Management
- Public Folder Management
- Server Management
- Delegated Setup
Gruplarımızı saydıktan sonra bu grupların içerik ve yetkilerinden biraz bahsedelim.
Organization Management
Active Directory Administrator kullanıcısı bu grubun varsayılan üyesidir. Exchange Server Organizasyonunun tüm yönetimi bu grup üyeleri tarafından yürütülebilir. Bu grup üyeleri eşsiz Exchange Organizasyon Yönetimi yetkilerine sahiptir. Bu grup üyesi kullanıcı bütün exchange organizasyonu içerisinde yer alan nesnelere her türlü erişim hakkına sahiptir.
View-Only Organization Management
Bu grubun üyeleri Exchange Organizasyonunda yer alan bütün nesnelerin özelliklerini sadece görüntüleyebilme yetkisine sahiptir. Herhangi bir değişiklik yapabilmesi sözkonusu değildir.
Recipient Management
Bu grubun üyeleri Exchange Server 2010 organizasyonu içerisinde yer alan alıcı işlemleri ile ilgili olarak değişiklik yapabilme gibi haklara sahiptir. Alıcılardan kasıt kullanıcılar, dağıtım grupları, contact ve public folder lar yer almaktadır. Bu grup Exchange Server 2007 de yer alan Exchange Recipient Administrator grubu ile eşit haklara sahiptir.
UM Management
Bu grubun üyeleri Exchange Server 2010 Organizasyonu içerisinde yer alan UM Sunucu Konfigurasyonu, Mailboxlar üzerinde yeralan UM özelliklerini, UM yapısı içerisinde yer alan Attendant ve AutoAttendant gibi yapıları yönetim yetkisine sahiptir.
Help Desk
Bu grubun üyesi olan kullanıcılar Exchange Server 2010 organizasyonu içerisinde yer alan alıcılar üzerinde kısıtlı yönetici haklarına sahiptir. Bu yetkiler ise şunlardır;
Kullanıcıların Outlook Web App uygulamasında yer alan özelliklerini görüntüleme ve değiştirme yetkisine sahiptir. Kullanıcılar kendilerine ait kullanıcı bilgilerini değiştiremediğini burdan tekrar hatırlatmak gerekecektir (Adı Soyadı, Görünen Adı, Açıklama v.b.). Görüntüleme ve değiştirme yetkisine sahip oldukları alanlar Adı Soyadı, Görünen Adı, Adresi, Telefon Numarası. Bu yetkileri sahip olmasına karşın kullanıcının mailbox size, mailbox konfigurasyonu veya barındırlan database değiştirme gibi yetkilere sahip değildir.
Hygiene Management
Bu grubun üyeleri Exchange Server 2010 Organizasyonu içerisinde yeralan antivirus ve anti-spam hizmetleri için ilgili yetkilere sahiptir. Antivirus/Anti-spam uygulaması entegrasyonunun sağlanması için kullanılacak Hizmet hesaplarının veya uygulamanın yönetici haklarına sahip kullanıcıların bu gurubun üyesi olmak zorundadır.
Records Management
Bu grubun üyeleri Exchange Server 2010 Organizasyonunda yer alan mesaj içerik kontrollerinin sağlanması, transport rule’ların oluşturulması ve içerik yönetim politikalarının belirlenmesi konularında yönetici haklara sahiptir.
Discovery Management
Bu grubun üyeleri Exchange Server 2010 Organizasyonu içerisinde farklı kriterlere uygun olarak mailboxlar üzerinde arama/listeleme yetkisine sahiptir. (Mailbox içerikleri bu kapsamda değildir. Sadece Mailbox özelliklerini kapsar. Örneğin size’I 1000k üzeri olanlar gibi)
Public Folder Management
Bu grubun üyeleri Exchange Server 2010 Organizasyonu içerisinde yer alan ve Exchange Server 2010 üzerinde konumlandırılmış Public Folder ve Databaseleri üzerinde yönetimsel haklara sahiptir.
Server Management
Bu grubun üyeleri Exchange Server 2010 Organizasyonu içerisinde yer alan Exchange Server sunucularında sunucu bazlı Administrators yetkilerine sahiptir. Bu yetkiler Transport, Unified Messaging, Client Access ve mailbox sunucular ile içerisinde yeralan database kopyaları, bunlara ait sertifikalar, transport rule’lar, Send Connector’ler, virtual directory’ler (OWA v.b.), kullanıcı erişim protokolleri POP3, IMAP v.b. gibi özelliklerin yönetimlerini kapsar. Bu grup Exchange Server 2007 de yer alan Exchange Server Administrators grubuna ait yetkiler ile benzer özellikleri taşır.
Delegated Setup
Bu grubun üyeleri Exchange Server 2010 Organizasyonu’na yeni bir role sahip bir sunucunun kurulması için yetkilendirilen bir gruptur. Kurulum işlemleri sonrasında ilgili sunucu üzerinde yönetimsel herhangi bir hakka sahip olmamak ile birlikte sadece kurulum işlemlerini yapabilme yetkisine sahiptir. Kurulan sunucu üzerinde aynı zamanda yönetimsel haklara sahip olunması için bir önce grup olan Server Managemet grubu üyesi olması gerekmektedir.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
Merhaba,
Peki active directory kurulumu yapılırken “Role-based feature-based installation “seçeneği ne anlama geliyor. ?
Şimdiden teşekkü