Merhaba,

Bu yazımda Exchange Server 2010 ( ve daha üstü ) yönetiminde, role based access control yapısındaki management role’lerin ve management role entry’lerin güvenlik ihtiyaçları doğrultusunda modifiye edilmesinden bahsetmek istiyorum. Exchange Server yönetiminde Exchange Admin’leride delegasyon, Role Based Access Control ile sağlanır. Role based access control için kullanılan ön tanımlı role group’larına Exchange Server Control Panel’den yada Exchange Server Management Shell’de erişilebilir.



Shell’den erişim için üstte görülen cmdlet kullanılabilir.

Ön tanımlı role group’larına Exchange Server Control panel’den erişmek isterseniz https://server_fqdn/ecp adresini kullanabilirsiniz. Üstte olduğu gibi, Role Group’larından herhangi birine tıklandığında ekranın sağ kısmında o group’a atanan role’ler görülmektedir. Yapılabilecek yönetimsel işler role’ler ile tanımlıdır. Örneğin; bir mailbox objesinin kota’sını değiştirmek isterseniz “mail recipient” role’u içindeki set-mailbox role entry’sini, –prohibitsendquota parametresi ile çalıştırmanız gerekir. Bu işlemi yapabilmek içinde kullanıcı account’unuzun recipient management role group’una yada daha yüksek yetkili bir role group’a üye olması gerekir!

Özetle; Management Role Entry -> Management Role -> Role Group <- User Account şeklinde bir yapı mevcuttur.



Get-ManagementRoleEntry -identity “mail recipients\*” cmdlet ile de bir entry’nin içeriğini (cmdlet’leri ve parametreleri ) görebilirsiniz.



Management Role Entry’ler ile de yapılabilecek “action” ‘lar belirlidir. Bu entry’ler gruplanarak role’leri oluşturur. Role’ler gruplanarak role group’lar oluşturulur. Kullanıcı account’ları role group’larına üye yapılır ve Role Based Access Control sağlanmış olur. Örnek uygulama ile custom role based access role group’u oluşturalım. Bu role group’taki yetkiler ile çalışacak exchange admin’leri recipient management yapabilir halde. Ama, quota işlemleri yapamasınlar! Built-in role’leri oynayamadığımız için yeni bir management role oluşturacağız. Bunu da varolan bir role’ü kopyalayarak yapacağız.



Yeni role’e üstte görüldüğü gibi bir isim verdim. Bu durumda yeni role’ün entry’lerini de “Mail Recipients” role’ünden kopyalamış oldum. Yeni role’deki entry’leri aşağıda görüldüğü gibi incelersek,



Set-Mailbox cmdlet’ini fark ederiz. Bildiğimiz gibi Set-Mailbox cmdlet’i kota işlemleri için kullanılan bir cmdlet’tir. Yeni role’deki Set-Mailbox entry’sinin kota işlemleri için kullanılan parametrelerini silersek bu role’den faydalanan kişiler de kota işlemleri yapamazlar J Bu arada entry’ler içindeki parametreleri listelemek isterseniz aşağıdaki cmdlet’den faydalanabilirsiniz.



Listenin alt kısımlarında çıkarmak istediğimiz parametreler mevcut!



Üstte görüldüğü üzere ilgili parametleri seçip siliyorum! Ardından, Exchange Server Control Panel ‘den role group oluştuyoruz.



Yeni role group, aslında built-in recipient management role group’unun aynısı gibi görünüyor ama “mail recipient” role’ünü kopyalayıp ismini değitirerek modifiye ettik J Role group’a baris@baris.local kullanıcısını üye yaptım. Exchange Management Console’dan bağlanarak test yapabiliriz.



Kullanıcı, üye olduğu role group’undan dolayı mailbox işlemlerinde yetkili, ama kota işlemlerinde yetkisiz ! Yeni role role’ümüz çalışıyor, işlem başarılı ! İlaveten, gerekirse management role’un entry’sinden bir parameter çıkarmak yerine ilgili entry’yi ( cmdlet’i) tamamen çıkarabilirsiniz.



Örneğin yeni oluşturduğumuz management role’ündekiler mailbox permission’lar ile uğraşmasınlar isterseniz aşağıdaki biçimde bunu yapılandırabilirsiniz.



Öncelikle entry’yi silmek yerine –whatif switch’ini kullanırsanız çalışması durumunu gözleyebilirsiniz(işlemleri simule etmek için).



Add-mailboxpermission entry’sini yeni oluşturduğumuz management role’den silelim.



Üstte görüldüğü üzere management role’den permission cmdlet’ini ( entry’sini ) silmiş olduk.



Yeni management role’deki add- ile başlayan entry’lere bakarsak durum üstteki gibidir. Bu işlemin recipient management task’leri uğraşan Exchange Admin’ine yansıması aşağıdaki gibi olacaktır.



İlgili entry( cmdlet ) olmadığı için sihirbaz olması gereken uyarıyı vererek işlemi yapmıyor! Özet: Exchange Server yönetiminde güvenlik politikalarından dolayı role based access control ’u değiştirmek (varsayılan ayarları mofiye etmek) için yapabileceğiniz işlemler genel olarak üstteki gibidir. Bu tür değişimler ile kurumların en hassas asset’lerinden biri olan mesajlaşma sistemlerine erişimi güvenlik politikaları doğrultusunda “customize” edebilirsiniz.

Herkese sorunsuz ve neşeli günler dilerim…