Jaa


Role-Based Access Control (RBAC): Il nuovo modo per gestire Exchange (Parte 4) – I Management Role Scope

Benvenuti alla parte 4 dei miei post su RBAC :-)

Oggi, come promesso nel precedente post, parliamo dei Management Role Scope.

I Management Role Scope definiscono quali oggetti possono essere acceduti dall’assegnatario di uno specifico Management Role.

Ogni Ruolo ha 4 Scope differenti:

  • Il RecipientReadScope
  • Il RecipientWriteScope
  • Il ConfigurationReadScope
  • Il ConfiguratioWriteScope

Che cosa indicano ?

Il RecipientReadScope indica quali oggetti di tipo recipient possono essere letti nel Domain Container di AD dall’assegnatario del ruolo a cui lo scope è associato

Il RecipientWriteScope indica quali oggetti di tipo recipient possono essere modificati nel Domain Container di AD dall’assegnatario del ruolo a cui lo scope è associato

Il ConfigurationReadScope indica quali oggetti di tipo Configuration possono essere letti nel Configuration Container di AD dall’assegnatario del ruolo a cui lo scope è associato

Il ConfigurationWriteScope indica quali oggetti di tipo Configuration possono essere modificati nel Configuration Container di AD dall’assegnatario del ruolo a cui lo scope è associato

Importante: I Write Scope non possono mai essere più grandi dei Read Scope. Se ci pensate è anche naturale. Se non posso leggere un oggetto come faccio a modifcarlo ?

Management Role Scope possono essere:

  • Impliciti
  • Espliciti

Scope Impliciti

Gli Scope Impliciti sono quelli applicati di default a un determinato ruolo. Di solito i Management Role Scope Impliciti sono ereditati dal ruolo padre (leggete la parte 3 per maggiori dettagli)

Alcuni esempi di Scope Impliciti sono:

  • Organization (L’intera Organizzazione Exchange)
  • Self (solo sè stessi)
  • etc…

Potete trovare la lista completa nel documento Understanding Management Role Scopes del Technet.

Scope Espliciti

Gli Scope Espliciti sono quelli che impostate voi stessi e servono per bypassare i Write Scope Impliciti. E’ importante ricordare che questo vale solo per i Write Scope. Non è possibile bypassare un Read Scope. Se volete vedere tutta l’Organizzazione dovete usare come Ruolo-Padre uno che abbia il Read Scope “Organization” per i fatti suoi.

Gli Scope Espliciti si suddividono in due categorie aggiuntive:

  • Normali (Regular)
  • Esclusivi (Exclusive)

I Normali stabiliscono gli insiemi di oggetti che possono essere visti/modificati dagli utenti a cui è associato un ruolo (ad esempio: tutti gli oggetti nella Organizational Unit “Milano”)

Gli Esclusivi, al contrario, sono utilizzati per negare l’accesso a determinati oggetti. Se un gruppo di oggetti si trova all’interno di uno Scope Esclusivo essi saranno visibili/modifcabili solo dagli utenti a cui è associato quello Scope. Se uno scope Normali e uno Esclusivo si sovrappongono solo gli utenti a cui è associato lo Scope Esclusivo potranno accedere agli oggetti. Se due Scope Esclusivi si sovrappongono un utente potrà accedere solo agli oggetti presenti nello Scope che gli è associato. Un esempio di utilizzo dello Scope Esclusivo è il seguente:

L’Helpdesk deve poter gestire tutti gli utenti della vostra Organizzazione eccetto i Manager che saranno gestiti dagli amministratori di rete.

Al ruolo Helpdesk lascio uno Scope a livello “Organization” poi ne creo uno di tipo Esclusivo che include solo i Manager e che assocerò al gruppo degli amministratori di rete

Alla prossima

Ciao
Gabriele