Fachartikel

Rollenverwaltung unter Exchange 2013 mit der PowerShell (1)

Neben den Database Availability Groups war Role Based Access Control – kurz RBAC – eine der größten Anpassungen in Exchange 2010. Die Tragweite ist auch in Exchange 2013 zu spüren, denn das Konzept bietet deutlich mehr Flexibilität bei der Rechtevergabe als die vorherigen Access Control Lists. Dieser Workshop geht auf die wichtigsten Punkte zur Konfiguration über die PowerShell ein. In Teil 1 erklären wir die verschiedenen RBAC-Methoden und geben eine Übersicht zu Rollen und Gruppen.
Damit Benutzern und Administratoren sämtliche nötigen Rechte zur Wahrnehmung ihrer täglichen Aufgaben zur Verfügung standen, arbeitete Exchange 2007 noch mit einfachen Access Control Lists (ACL). Bei strukturierten und starren Systemen ist dies ein effektiver Weg, um Rechte zu vergeben. Exchange jedoch ist ein sehr dynamisches System, das mit tausenden Objekten arbeitet und ein granulares Berechtigungskonzept benötigt. Role Based Access Control (RBAC) mit ihrem Rollenkonzept ist das Ergebnis und bietet die nötige Flexibilität. In Exchange 2013 steuert RBAC sowohl, welche Verwaltungsaufgaben durchgeführt werden können, als auch den Umfang, in dem Benutzer jetzt ihre eigenen Postfach- und Verteilergruppen verwalten können.


Bild 1: Die Zusammenhänge der verschiedenen RBAC-Komponenten (wer darf was wo).
RBAC-Methoden
Bei RBAC gibt es zwei Varianten der Zuordnung von Berechtigungen zu Benutzern. Die jeweils gewählte Methode hängt vom Benutzertyp ab. Für Administratoren kommen Verwaltungsrollengruppen zur Anwendung, während bei Benutzern die Richtlinien für die Zuweisung von Verwaltungsrollen greifen. Jede Methode ordnet dabei den Benutzern die Berechtigungen zu, die sie für ihre Tätigkeit benötigen. Das Rollenkonzept besteht dabei aus den folgenden Komponenten:

  • Verwaltungsrollengruppe: Eine spezielle universelle Sicherheitsgruppe, in der Sie Mitglieder einer Rollengruppe zusammenfassen. Dieser Gruppe werden Verwaltungsrollen zugewiesen und Mitglieder werden über die Gruppe hinzugefügt oder entfernt. Verwaltungsrolle: Eine Verwaltungsrolle ist ein Container für die Zusammenstellung von Verwaltungsrolleneinträgen.
  • Anhand von Verwaltungsrollen werden die spezifischen Tasks definiert und zusammengefasst, die die Mitglieder einer Rollengruppe ausführen können.
  • Verwaltungsrolleneintrag: Ein Verwaltungsrolleneintrag ist ein Eintrag zu einem Cmdlet oder einem Skript zur Wahrnehmung spezifischer Tasks in einer Rolle.
  • Verwaltungsrollenzuweisung: Verknüpft eine Verwaltungsrolle mit einer Verwaltungsrollengruppe. Durch das Zuweisen einer Rolle zu einer Rollengruppe erhalten Mitglieder der Rollengruppe die Möglichkeit, die in der Rolle definierten Cmdlets auszuführen. Rollenzuweisungen können Verwaltungsrollenbereiche verwenden, um den Wirkungsbereiche einer Zuweisung einzugrenzen.
  • Verwaltungsrollenbereich: Der Einfluss- oder Wirkungsbereich einer Rollenzuweisung. Wird eine Rolle mit einem Bereich einer Rollengruppe zugewiesen, grenzt der Verwaltungsbereich genau ein, welche Objekte diese Zuweisung verwalten darf. Die Zuweisung und ihr Bereich werden auf die Mitglieder der Rollengruppe übertragen und schränken diese Mitglieder ein. Ein Bereich kann aus einer Liste von Servern oder Datenbanken, Organisationseinheiten oder Filtern für Server-, Datenbank- oder Empfängerobjekte bestehen.
  • Richtlinie für die Verwaltungsrollenzuweisung: Der Rollenzuweisungsrichtlinie werden Verwaltungsrollen zugewiesen. Benutzer bekommen die Rollenzuweisungsrichtlinie dann bei der Erstellung ihrer Postfächer zugewiesen. Auf diesem Weg ist definiert, welche Rechte zur Verwaltung ein Benutzer in seinem Postfach oder in Verteilergruppen hat.
Seite 1: RBAC-Methoden
Seite 2: Übersicht über Rollen und Gruppen


Seite 1 von 2 Nächste Seite >>
9.01.2017/dr/ln/Christian Schulenburg

Nachrichten

In die Zukunft mit nicht-aggregierten Switchen [22.08.2017]

Der Netzwerk- und IT-Dienstleister BT und Dell EMC forschen gemeinsam an einer neuen Technologie, mit der sich der Netzwerk-Verkehr besser managen lassen soll. Die in den BT Labs in Suffolk durchgeführte Proof-of-Concept-Studie soll untersuchen, wie sich mit nicht-aggregierten Switchen flexiblere Netzwerke gestalten lassen können. [mehr]

Angriffsziel Cloud [21.08.2017]

Neben der Häufigkeit wächst die Raffinesse der Cyberangriffe auf Nutzerkonten in der Cloud. Das ist ein Ergebnis der neuen Ausgabe des 'Microsoft Security Intelligence Reports'. Insgesamt sind die Angriffe auf Microsoft-Cloud-Konten um 300 Prozent innerhalb eines Jahres gestiegen. [mehr]

Tipps & Tools

Komplett runderneuert: IT-Administrator E-Paper [22.08.2017]

Es wurde Zeit: Auf vielfachen Leserwunsch hin haben wir das E-Paper des IT-Administrator komplett überarbeitet. Per Browser oder App bietet sich nun auf nahezu allen Endgeräten die Möglichkeit, unser Magazin noch komfortabler im Original‐Layout der Print‐Version zu lesen. Features wie die Speicherung der Ausgaben auf dem Gerät, die treffsichere Volltextsuche sowie die übersichtliche Seitenvorschau erleichtern den Umgang mit der digitalen Variante. Besonderes Schmankerl: Auch die Sonderhefte ab 2015 sind nun als E-Paper abrufbar. [mehr]

Vorschau September 2017: Container [21.08.2017]

Container sind derzeit in aller Munde, allen voran Docker. In der September-Ausgabe beleuchtet IT-Administrator, was die Technologie für Admins im Unternehmen zu bieten hat. So lesen Sie etwa, wie die Docker-Orchestrierung mit Kubernetes funktioniert und wie VMwares Strategie in Sachen Container aussieht. Daneben werfen wir einen Blick auf die Container-Nutzung unter Windows Server 2016 mit Docker sowie Hyper-V. Nicht zuletzt widmen wir uns der Frage, wie sich die Sicherheit von Container-Applikationen dank Aporeto Trireme erhöhen lässt. In den Produkttests nehmen wir unter anderem den Parallelbetrieb von SQL Server mit Windocks unter die Lupe. [mehr]

Buchbesprechung

Citrix XenMobile 10

von Thomas Krampe

Anzeigen