Creare nuovi gruppi e ruoli amministrativi su Exchange 2010
Exchange 2010 presenta diverse tipologie di gruppi amministrativi a cui sono assegnati ruoli differenti.
I gruppi predefiniti sono adatti per i profili amministrativi più comuni ma ci possono essere delle eccezioni; delle volte infatti i gruppi o i ruoli di default hanno delle piccole funzionalità in più o in meno rispetto a quelle che vorremmo fornire ai nostri utenti amministrativi.
Per fortuna con RBAC è semplice, partendo magari dai gruppi e ruoli predefiniti, creare un gruppo amministrativo con esattamente le funzionalità desiderate.
Supponiamo, per esempio, di volere un gruppo amministrativo per la creazione e gestione di caselle di posta che però, per ragioni di sicurezza, non sia in grado di modificare i diritti di accesso sulle caselle di posta (un utente “malizioso” potrebbe sfruttare questo diritto per garantirsi un accesso non autorizzato alla casella di posta di un altro utente …).
La funzionalità che vogliamo inibire è quella riportata nelle seguenti figure relative all’EMC :
Il gruppo tra quelli standard da cui possiamo partire per definire il nuovo gruppo custom è il “Recipient Management”; tramite il comando seguente possiamo vedere tutti i ruoli associati a questo gruppo:
Get-RoleGroup -Identity "Recipient Management" |fl Name,Role*
Adesso, tra questi ruoli, dobbiamo capire quello che permette la modifica dei permessi di accesso alle caselle; possiamo individuarlo tramite il seguente comando:
Get-ManagementRole|where {$_.RoleEntries -match "Add-MailboxPermission"}|fl
Il ruolo che presenta la funzionalità incriminata è pertanto il “Mail Recipients”
Non è consigliato eseguire modifiche sui gruppi e ruoli di default pertanto il primo passo suggerito è creare un nuovo gruppo (partendo proprio dal “Recipient Management”):
$RG = Get-RoleGroup "Recipient Management"
New-RoleGroup "Recipient Management Limited" -roles $RG.roles
Il nuovo gruppo (“Recipient Management Limited”) comparirà su Active Directory nella OU “Microsoft Exchange Security Groups”
Per non fare confusione è consigliato (tramite powershell o aduc) valorizzare il campo “Description” con delle informazioni indicative sulle caratteristiche del gruppo.
A questo punto dobbiamo creare un nuovo ruolo, partendo ovviamente da quello standard “Mail Recipient”, da cui poi possiamo rimuovere le funzionalità non gradite:
New-ManagementRole -Name "Mail Recipients No Permission" -Parent "Mail Recipients" –WhatIf
New-ManagementRole -Name "Mail Recipients No Permission" -Parent "Mail Recipients"
Dal nuovo ruolo vogliamo rimuovere la possibilità di modificare i permessi della mailbox tramite il comando “Add-MailboxPermission”; quindi eseguiamo:
Get-ManagementRoleEntry "Mail Recipients No Permission\*" | Where { $_.Name -Like "Add-MailboxPermission*" } | Remove-ManagementRoleEntry –WhatIf
Get-ManagementRoleEntry "Mail Recipients No Permission\*" | Where { $_.Name -Like "Add-MailboxPermission*" } | Remove-ManagementRoleEntry
Per evitare che vengano modificati i diritti a livello di folder della mailbox conviene rimuovere dal nuovo ruolo anche il comando “Add-MailboxFolderPermission”:
Get-ManagementRoleEntry "Mail Recipients No Permission\*" | Where { $_.Name -Like "Add-MailboxFolderPermission*" } | Remove-ManagementRoleEntry –WhatIf
Get-ManagementRoleEntry "Mail Recipients No Permission\*" | Where { $_.Name -Like "Add-MailboxFolderPermission*" } | Remove-ManagementRoleEntry
Adesso quello che rimane da fare è sostituire, nel gruppo “Recipient Management Limited”, il ruolo “Mail Recipient” con quello nuovo in cui sono state rimosse le funzionalità non desiderate; questa operazione, oltre che da powershell, può essere eseguita dall’ECP (Exchange Control Panel):
Selezionare il nuovo gruppo …
Rimuovere dal gruppo il ruolo “Mail Recipients” …
… e aggiungere il nuovo ruolo “Mail Recipients No Permission”
Adesso l’utente appartenente al gruppo “Recipient Management Limited” sarà in grado di creare e gestire caselle di posta, ma se prova a modificare i permessi riguardanti l’accesso alla casella …