Rollenverwaltung unter Exchange 2013 mit der PowerShell (2)

Lesezeit
2 Minuten
Bis jetzt gelesen

Rollenverwaltung unter Exchange 2013 mit der PowerShell (2)

16.01.2017 - 00:00
Veröffentlicht in:
Neben den Database Availability Groups war Role Based Access Control – kurz RBAC – eine der größten Anpassungen in Exchange 2010. Die Tragweite ist auch in Exchange 2013 zu spüren, denn das Konzept bietet deutlich mehr Flexibilität bei der Rechtevergabe als die vorherigen Access Control Lists. Dieser Workshop geht auf die wichtigsten Punkte zur Konfiguration über die PowerShell ein. Im zweiten Teil der Serie beschäftigen wir uns damit, wie Sie neue Verwaltungsrollengruppen anlegen, eigene Verwaltungsrollengruppen erstellen, den Verwaltungsbereich festlegen und Rollenzuweisungsrichtlinien administrieren.
Anlegen einer neuen Verwaltungsrollengruppe
Eine neue Verwaltungsgruppe legen Sie über New-RoleGroup an. Über den Parameter "Roles" definieren Sie die Verwaltungsrollen, die Sie mit der Gruppe verknüpfen möchten. Die Mitglieder weisen Sie über "Members" direkt zu:
New-RoleGroup -Name "Benutzerverwaltung 
 eingeschränkt" -Roles "Mail Recipients", 
 "Mail Enabled Public Folders" -Members Alexa
 -Description "Nur eingeschränkte Rechte"
Im Hintergrund wird anschließend automatisch eine neue Sicherheitsgruppe in der OU "Microsoft Exchange Security Groups" angelegt. Die Rollengruppe wird automatisch mit den Verwaltungsrollen über die Verwaltungsrollenzuweisung verknüpft. Dies erklärt auch, warum Exchange 197 Verknüpfung mitbringt, die durch die eingebauten Rollen automatisch eingerichtet werden. Anzeigen können Sie die Zuweisungen über Get-ManagementRoleAssignment. Mit Remove-RoleGroup löschen Sie die entsprechende Verwaltungsgruppe.

Eigene Verwaltungsrollen erstellen
Die in Exchange vorhandenen Verwaltungsrollen können nicht weiter angepasst werden, sodass Sie bei individuellen Einstellungen schnell eigene Rollen erstellen müssen. Entsprechend richten Sie über New-ManagementRoles neue Verwaltungsrollen ein. Geben Sie dabei eine vorhandene Rolle als Vorlage an, um sämtliche Verwaltungsrolleneinträge zu übernehmen. Die neue Rolle wird dabei zu einer untergeordneten Rolle. Die Zuweisung erfolgt über den Parameter "Parents":
New-ManagementRole -Name "Benutzer anlegen" -Parent "Mail Recipient Creation"
Im Anschluss prüfen Sie die Verwaltungsrolleneinträge. Sind Befehle vorhanden, die die Verwaltungsrolle nicht nutzen darf, entfernen Sie diese über Remove-ManagementRoleEntry. Filtern Sie zunächst die Einträge und löschen Sie die Ergebnisse direkt. Im folgenden Beispiel entfernen wir alle Lösch-Cmdlets:
Get-ManagementRoleEntry "Benutzer anlegen\*" | Where Name -like "Remove-*" |
Remove-ManagementRoleEntry -Confirm:$False
Bereits gelöschte PowerShell-Befehle fügen Sie der Verwaltungsrolle über Add-ManagementRoleEntry wieder hinzu. Über die Erweiterung "Parameter" geben Sie die Parameter des Cmdlets an, die durch die Verwaltungsrolle angesprochen werden können. Beachten Sie, dass Sie nur Verwaltungsrolleneinträge aufnehmen können, die in der übergeordneten Verwaltungsrolle enthalten sind:
Add-ManagementRoleEntry "Benutzer anlegen\Remove-Mailbox"
Die neue Verwaltungsrolle können Sie einer Verwaltungsrollengruppe hinzufügen oder Sie richten eine neue Verwaltungsrollenzuweisung ein und verknüpfen die Rolle dann direkt mit einem Nutzer oder einer Gruppe.
New-ManagementRoleAssignment -User Christian -Role "Benutzer anlegen"

Bild 6: Ein Verwaltungsrollenbereich kann für das Schreiben und das Lesen unterschiedlich definiert werden.

Verwaltungsbereich festlegen
Standardmäßig gelten die Verwaltungsrollen für alle Objekte der Umgebung. Sie können dies einschränken, damit nur auf bestimmte Objekte zugegriffen werden kann. Exchange unterscheidet dabei nach Schreib- und Lesebereich bezogen auf Empfänger und Einstellungen. Am Beispiel der Import-Export-Rolle ist dieses leicht nachzuvollziehen:
Get-ManagementRole "Mailbox Import Export" | fl *Scope*
Im Auslieferungszustand sind keine Verwaltungsbereiche definiert und über New-ManagementScope können diese angelegt werden. Eine Bereichseinschränkung auf die OU Hamburg definieren Sie wie folgt:
New-ManagementScope -Name "Hamburg" -RecipientRoot "schulenburg.lab/ Hamburg" 
-RecipientRestrictionFilter {RecipientType -eq "UserMailbox"}
Eine Übersicht zu den verschiedenen Filtermöglichkeiten finden Sie unter [1]. Im nächsten Schritt erstellen wir nun eine neue Verwaltungsrollenzuweisung mit dem Verwaltungsbereich:
New-ManagementRoleAssignment -SecurityGroup "Benutzerverwaltung Hamburg" 
-Role "Benutzer anlegen" -CustomRecipientWriteScope "Hamburg"
Sie können den Verwaltungsgruppenbereich auch direkt auf neue Verwaltungsrollengruppen festlegen. Möchten Sie die Bereichseingrenzung auf vorhandene Gruppen anpassen, muss dies über die Verwaltungsrollenverknüpfung erfolgen. Lesen Sie hierzu die Verwaltungsrollenzuweisungen aus und übergeben Sie diese an den Änderungsbefehl:
Get-ManagementRoleAssignment -RoleAssignee "Benutzerverwaltung eingeschränkt" |
Set-ManagementRoleAssignment -CustomRecipientWriteScope Hamburg
Neben dem "CustomRecipientWrite- Scope", der einen vorab definierten Bereich zum Schreiben anspricht, können Sie für die Gruppe eine spezielle Organisationseinheit über "RecipientOrganizationalUnitScope" ansprechen, sodass nicht immer ein Verwaltungsbereich benutzt werden muss.

Seite 1: Eigene Verwaltungsrollen erstellen
Seite 2: Verwaltung von Rollenzuweisungsrichtlinien


Seite 1 von 2 Nächste Seite >>


dr/ln/Christian Schulenburg

[1] https://technet.microsoft.com/de-de/library/dd335137(v=exchg.150).aspx

Ähnliche Beiträge

Exchange in Hybridkonfiguration betreiben (3)

Gerade kleinere Unternehmen sieht Microsoft vermehrt in der Cloud. Um den Weg dorthin zu ebnen, stellt der Konzern aus Redmond verschiedene Migrationswege bereit, damit es E-Mails, Kalendereinträge und Kontakte in die Cloud schaffen. Eine große Rolle spielt dabei die Hybridkonfiguration, die auch einen dauerhaften Parallelbetrieb ermöglichen kann. Die Einrichtung erfolgt am einfachsten über den Hybrid Agent. Im dritten und letzten Teil des Workshops widmen wir uns ganz der Praxis und beschäftigen uns mit der Installation des Agenten und wie Sie die Hybridverbindung gründlich prüfen.

Exchange in Hybridkonfiguration betreiben (2)

Gerade kleinere Unternehmen sieht Microsoft vermehrt in der Cloud. Um den Weg dorthin zu ebnen, stellt der Konzern aus Redmond verschiedene Migrationswege bereit, damit es E-Mails, Kalendereinträge und Kontakte in die Cloud schaffen. Eine große Rolle spielt dabei die Hybridkonfiguration, die auch einen dauerhaften Parallelbetrieb ermöglichen kann. Die Einrichtung erfolgt am einfachsten über den Hybrid Agent. In der zweiten Folge stellen wir den Hybrid Agent genauer vor und skizzieren dessen Voraussetzungen.

Exchange in Hybridkonfiguration betreiben (1)

Gerade kleinere Unternehmen sieht Microsoft vermehrt in der Cloud. Um den Weg dorthin zu ebnen, stellt der Konzern aus Redmond verschiedene Migrationswege bereit, damit es E-Mails, Kalendereinträge und Kontakte in die Cloud schaffen. Eine große Rolle spielt dabei die Hybridkonfiguration, die auch einen dauerhaften Parallelbetrieb ermöglichen kann. Die Einrichtung erfolgt am einfachsten über den Hybrid Agent. Im ersten Teil des Workshops schauen wir uns an, warum Hybridkonfigurationen vor allem bei Migrationsszenarien interessant sind.