Management Role Assignment Policy
By JoeP
Akkor azon már túl vagyunk, hogyan tudunk kisebb adminisztratÃv feladatokat kiszórni egyes kiválasztott embereknek. Most azt kellene megvizsgálni, hogyan tudunk tömegesen plusz jogosultságokat adni a felhasználóknak - természetesen csak a saját postafiókjaikra.
Mit is értek ez alatt? Minden postafióknak vannak tulajdonságai, azoknak pedig értékei. Mondjuk display name és ‘Kovács János’. EbbÅ‘l a kupacból lehet - lehetne - mazsolázgatni, hogy miket módosÃthat a felhasználó és miket csak a rendszergazda.
Van ennek értelme? Valamilyen szinten van. (Anno Jim McBee is Ãgy gondolta, hiszen már az Exchange 2003-hoz is gyártott egy hasonló funkcionalitású eszközt.) Nagy cégnél dolgozó kollégák biztosan tapasztalták már, hogy például valaki átköltözött a 306-os szobából a 308-asba, de ez a változás az életben nem lett átvezetve a cÃmtárban. SÅ‘t, nem ritkán még a névváltozások is csak hosszú késéssel futnak át a rendszeren. Megváltozik valakinek a mobilszáma? Van akkora rend és fegyelem(1), hogy a telefonkiadó személy értesÃti az AD adminisztrátort a változásról?
(1) Megjegyzem, van, ahol van. De legalábbis a szándék. Igazán nagy cégnél nyilván ez az egész nem Ãgy működik, hanem vannak kiemelt adatbázisok (HR, HW/SW leltár) elÅ‘ször ezekben vezetjük át a változásokat, majd onnan fognak átszivárogni a módosÃtások a másodlagos adatbázisokba (AD, CMDB).
Mindenesetre kisebb, kevésbé szabályozottan működÅ‘ cégeknél értelmes alternatÃva lehet, hogy magukra a felhasználókra bÃzzuk, hogy ezeket az apróbb jelentÅ‘ségű változásokat maguk is adminisztrálhassák. Nyilván az emailcÃmüket, felhasználói nevüket nem módosÃthatják - de a többi módosÃtás delegálása már pusztán csak bátorság és cégkultúra kérdése.
Ennyi az elv. AmitÅ‘l viszont nekem égnek állt a szÅ‘r a hátamon, az az Exchange 2010 alap hozzáállása. ErÅ‘sen bÃzom benne, hogy ez csak RC tulajdonság.
Arról van szó, hogy - a general fültÅ‘l eltekintve - defaultban mindenki módosÃthat minden adatot a postafiókján. A késÅ‘bbiekben pedig mi szigorÃthatunk majd házirendekkel a hozzáféréseken.
Mint látható, egy átlagos felhasználóval (Vidor) belépve csak a felső mezők szürkék, alatta mindent szabadon szerkeszthetünk, sőt, még el is menthetjük.
Legyen akkor az a feladat, hogy vegyük el az adatmódosÃtási jogot Kukától.
Kezdjük megint a get-command *role* paranccsal. Nem akarom most már annyira szájbarágósan levezetni, a policy-t a következőképpen fogjuk legyártani:
new-roleassignmentpolicy ‘Alap’
A szerepet a már ismert módon keressük meg.
Nem, ne lepÅ‘djünk meg a szövegen. ElsÅ‘re ugyan úgy tűnhet, hogy ez éppen hogy engedélyezné a módosÃtást… de higgyjél nekem, én végigcsináltam. Ez fogja _letiltani_.
A policy és a szerep összekapcsolása:
new-managementroleassignment –name ‘Alap-MyBaseOptions’ –policy ‘Alap’ –role ‘MyBaseOptions’
A policy ráhúzása egy postafiókra már rutinfeladat:
set-mailbox kuka –roleassignmentpolicy ‘Alap’
Ha az összes postafiókra akarjuk ráküldeni:
get-mailbox | set-mailbox -roleassignmentpolicy ‘Alap’
Értelemszerűen a parancs elsÅ‘ felét pofozgatva finomÃthatjuk a szűrést.
Elméletileg készen vagyunk. Nézzük is meg, mit csináltunk:
get-managementroleassignment -identity “Alap-MyBaseOptions” |fl
Ami elsÅ‘re feltűnhet: a RecipientReadScope és a RecipientWriteScope tulajdonságok értéke ‘Self’-re változott - azaz a felhasználó ténylegesen csak a saját postafiókjához fér hozzá. Aztán megint érdemes megvizsgálni a Distinguished Name paramétert. Ez most szemmel láthatóan nem a domain névtérben lévÅ‘ objektumra mutat, a policy a konfigurációs névtérben keletkezett. Szerencsére meg is tudjuk nézni, ha az Active Directory Site & Services konzolból bemegyünk a Services folderbe és követjük a képen látható útvonalat.
Imhol. Látható, kincset találtunk. Nem csak a házirendek találhatók itt meg, hanem egyéb objektumok is: összerendelések, szerepek, szkópok. Igen, szerepek. Ha legközelebb keresnünk kell, elég, ha ide nézünk be. (Mondjuk, itt viszont csak név van, description tulajdonság nincs.)
Egy dolog van már csak hátra: teszteljünk. A kicsi adminokhoz hasonlóan a plusz postafiók jogosultságokat is az ECP-n keresztül érvényesÃthetjük.
Nem is kell sokat magyaráznom. Kukával belépve az égegyadta világon minden szürke.
Végül álljon itt egy újabb értetlenkedés. Ha megnézed a szerepköröket, van azért ott egy csomó érdekes My* kezdetű szerepkör: MyContactInformation, MyProfileInformation, hogy mást ne mondjak. Szorgalmasan megcsináltam mindegyikhez a házirendet, rácsorgattam a felhasználóra - de az összes eredmény csak az lett, hogy onnantól a felhasználó nem tudott belépni az ECP-be.
RC.
Nos, ezzel nagyjából ki is veséztük a jogosultságokkal kapcsolatos változásokat. Jöhetnek az adatbázisok.
By JoeP 
október 24, 2009 at 20:15
Tags: exchange 2010 Posted in: exchange
Leave a Reply