Exchange Server 2010 Sp3 Mail Recipients ve Distribution Group İzinlerinin Belirli Kullanıcılara verilmesi
Öncelikle Exchange 2010 ile beraber gelen yetki grupları ile yönetimin dağıtılması sağlanabilir. Ancak istenilenden fazla yetki de verilebilir. Yetkilerin sınırlandırılması için Exchange içerisindeki Role Grupları, Role Gruplarına atacak yetki ve komut parametrelerinin belirlenmesi ile istenen yetkilerin verilmesi sağlanabilir. Burada RBAC ve diğer konularla ilgili birçok bilgi bulabilirsiniz.
Aşağıdaki link ve "role based access control rbac exchange 2010" gibi bir ifade ile arama yapıldığında çıkan sonuçlar yeterli olacaktır.
Burada RBAC ve diğer konularla ilgili detaylı bilgi bulabilirsiniz.
Burada RBAC ve diğer konularla ilgili detaylı bilgi bulabilirsiniz.
http://technet.microsoft.com/en-us/library/dd298183(v=exchg.150).aspx
Bu nedenle açıklama yapmadan istenilen yetkilerin verilmesi için gerekli adımları uygulamaya başlayabiliriz.
Bu nedenle açıklama yapmadan istenilen yetkilerin verilmesi için gerekli adımları uygulamaya başlayabiliriz.
Amaç belirli bir kullanıcı grubuna Mail Box ve Distribution Group oluşturma ve Mailbox ve Distribution Grup özelliklerinde değişiklik yapma yetkisinin verilmesi. Delete, Disable, Remove ve MailBox üzerindeki Mail Forward, Quota ların yetki verilen kullanıcı grubun tarafından değiştirilmesinin engellenmesi.
Kısaca Exchange 2010 içerisindeki yetki gruplarının, bir kopyasını alıp, içinde gerekli değişiklikleri yapıp ilgili gruba atayarak yetkilendirme yapılır.
1. Kurulumla beraber gelen grupların yetkileri yeni oluşturulan yetki gruplarına aşağıdaki gibi kopyalanır.
Get-ManagementRole "Distribution Groups" | New-ManagementRole "YardimMasasi Distribution Groups"
Get-ManagementRole "Mail Recipient Creation" | New-ManagementRole "YardimMasasi Mail Recipient Creation No Delete"
Get-ManagementRole "Mail Recipients" | New-ManagementRole "YardimMasasi Mail Recipients No Delete"
2. Yeni oluşturulan yetki grupları içindeki silme gibi yetkiler aşağıdaki komutlarla alınır.
Burada -like yada -eq kullanılabilir. Komutun hangi yetkileri sileceğini görmek için sonuna -Whatif eklenebilir.
Get-ManagementRole "YardimMasasi Distribution Groups" | Get-ManagementRoleEntry | where {$_.name -like "Remove-DistributionGroup"} | Remove-ManagementRoleEntry
Get-ManagementRole "YardimMasasi Distribution Groups" | Get-ManagementRoleEntry | where {$_.name -like "Remove-DynamicDistributionGroup"} | Remove-ManagementRoleEntry
Get-ManagementRole "YardimMasasi Distribution Groups" | Get-ManagementRoleEntry | where {$_.name -like "Disable-DistributionGroup"} | Remove-ManagementRoleEntry
Get-ManagementRole "YardimMasasi Distribution Groups" | Get-ManagementRoleEntry | where {$_.name -like "Write-AuditAdminLog"} | Remove-ManagementRoleEntry
Get-ManagementRole "YardimMasasi Mail Recipients Creation" | Get-ManagementRoleEntry | where {$_.name -like "Remove*" } | Remove-ManagementRoleEntry
Get-ManagementRole "YardimMasasi Mail Recipients Creation" | Get-ManagementRoleEntry | where {$_.name -like "Write*" } | Remove-ManagementRoleEntry
Silinen izinler
Remove-RemoteMailbox
Remove-Mailbox
Remove-MailUser
Write-AdminAuditLog
Remove-MailContact
Get-ManagementRole "YardimMasasi Mail Recipients" | Get-ManagementRoleEntry | where {$_.name -like "set-mailboxpermission"} | Remove-ManagementRoleEntry
Get-ManagementRole "YardimMasasi Mail Recipients" | Get-ManagementRoleEntry | where {$_.name -like "Disable-*"} | Remove-ManagementRoleEntry
Get-ManagementRole "YardimMasasi Mail Recipients" | Get-ManagementRoleEntry | where {$_.name -like "Remove-*"} | Remove-ManagementRoleEntry
Get-ManagementRole "YardimMasasi Mail Recipients" | Get-ManagementRoleEntry | where {$_.name -like "Write-AdminAuditLog"} | Remove-ManagementRoleEntry
Get-ManagementRole "YardimMasasi Mail Recipients" | Get-ManagementRoleEntry | where {$_.name -like "Clear-ActiveSyncDevice"} | Remove-ManagementRoleEntry
Get-ManagementRole "YardimMasasi Mail Recipients" | Get-ManagementRoleEntry | where {$_.name -like "Add-MailboxFolderPermission"} | Remove-ManagementRoleEntry
Yeni oluşturlan gruplardaki yetkiler aşağıdaki komutla görülebilir.
Get-ManagementRole "YardimMasasi Distribution Groups" | Get-ManagementRoleEntry
Get-ManagementRole "YardimMasasi Mail Recipient Creation No Delete" | Get-ManagementRoleEntry
Get-ManagementRole "YardimMasasi Mail Recipients No Delete" | Get-ManagementRoleEntry
3. İstenmeyen diğer yetkilerin alınması. Örnek olarak Bir Mailbox üzerinde Forward, Kota düzenleme yetkileri
Set-ManagementRoleEntry "YardimMasasi Mail Recipients\Set-Mailbox" -Parameters ForwardingAddress,ForwardingSmtpAddress -RemoveParameter
Set-ManagementRoleEntry "YardimMasasi Mail Recipients\Set-Mailbox" -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota -RemoveParameter
Set-ManagementRoleEntry "YardimMasasi Mail Recipients\Set-Mailbox" -Parameters RetainDeletedItemsFor,RetainDeletedItemsUntilBackup -RemoveParameter
Set-ManagementRoleEntry "YardimMasasi Mail Recipients\Set-Mailbox" -Parameters GrantSendOnBehalfTo -RemoveParameter
Set-ManagementRoleEntry "YardimMasasi Mail Recipients\Set-Mailbox" -Parameters SharingPolicy -RemoveParameter
Aşağıdaki komutla yetki verilen komutla uygulanabilir parametrenin izinin kaldırılğı kontrol edilebilir. Komutun çıktısı olmamalı.
Get-ManagementRoleEntry "YardimMasasi Mail Recipients\Set-Mailbox" | where {$_.parameters -eq "ForwardingAddress"}
Biraz açıklama ihtiyacı hissediyorum. ManagementRoleEntry içindeki kullanılabilir komutlar aşağıdaki gibi görülebilir.
Tüm uygulanabilir komutların görülmesi için aşağıdaki komutlar uygulanabilir.
Get-ManagementRoleEntry "YardimMasasi Mail Recipients\*"
Get-ManagementRole "YardimMasasi Mail Recipients" | fl RoleEntries
Get-ManagementRole "YardimMasasi Mail Recipients" | fl RoleEntries
Belirli bir komutun parametrelerinin görülmesi ile, verilen yetklilerle uygulanabilir komutların içindeki hangi parametrelerin kısıtlanabileceği belirlenebilir.
Get-ManagementRoleEntry "YardimMasasi Mail Recipients\Set-User" | paramaters
get-help set-user -Detailed | more
get-help çıktısındaki parametrelerin ismi yazılarak yetkiler kısıtlanabilir.
4. Yetki verilecek kullanıcıların yada grupların üye yapılacağı Management Role Group oluşturulması, yeni oluşturulan Management Role Groupların, Role Group a bağlanması ve yetki verilecek Active Directory Grubunun RoleGroup a üye yapılması
New-RoleGroup -Name "Test" -Roles "YardimMasasi Distribution Groups","YardimMasasi Mail Recipient Creation","YardimMasasi Mail Recipients" -Members "Yardim Masasi Grubu"
Örnek olarak Set-Mailbox komutu parametrelerini aşağıda sıraladım.
AcceptMessagesOnlyFrom,
AcceptMessagesOnlyFromDLMembers,
AcceptMessagesOnlyFromSendersOrMembers,
AddOnSKUCapability,
AddressBookPolicy,
Alias,
AntispamBypassEnabled,
ApplyMandatoryProperties,
Arbitration,ArbitrationMailbox,
ArchiveDatabase,ArchiveDomain,
ArchiveName,
ArchiveQuota,
ArchiveStatus,
ArchiveWarningQuota,
AuditAdmin,
AuditDelegate,
AuditEnabled,
AuditLogAgeLimit,
AuditOwner,
BypassLiveId,
BypassModerationFromSendersOrMembers,
CalendarLoggingQuota,
CalendarRepairDisabled,
CalendarVersionStoreDisabled,
ClientExtensions,
Confirm,
CreateDTMFMapCustomAttribute1,
Database,
DefaultPublicFolderMailbox,
DeliverToMailboxAndForward,
DisplayName,DomainController,
DowngradeHighPriorityMessagesEnabled,
DumpsterMessagesPerFolderCountReceiveQuota,
DumpsterMessagesPerFolderCountWarningQuota,
EmailAddresses,EmailAddressPolicyEnabled,
EnableRoomMailboxAccount,
EndDateForRetentionHold,
EvictLiveIdExtensionCustomAttribute1,
ExternalOofOptions,
FederatedIdentity,
FolderHierarchyChildrenCountReceiveQuota,
FolderHierarchyChildrenCountWarningQuota,
FolderHierarchyDepthReceiveQuota,
FolderHierarchyDepthWarningQuota,
Force,
ForwardingAddress,
ForwardingSmtpAddress,
GMGen,
GrantSendOnBehalfTo,
HiddenFromAddressListsEnabled,
IgnoreDefaultScope,
ImListMigrationCompleted,
ImmutableId,
IsExcludedFromServingHierarchy,
IssueWarningQuota,
JournalArchiveAddress,
Languages,
LinkedCredential,
LinkedDomainController,
LinkedMasterAccount,
LitigationHoldDate,
LitigationHoldDuration,
LitigationHoldEnabled,
LitigationHoldOwner,
MailboxMessagesPerFolderCountReceiveQuota,
MailboxMessagesPerFolderCountWarningQuota,
MailboxPlan,
MailRouting,
MailTip,
MailTipTranslations,
ManagedFolderMailboxPolicy,
ManagedFolderMailboxPolicyAllowed,
Management,
MaxBlockedSenders,
MaxReceiveSize,
MaxSafeSenders,
MaxSendSize,
MessageTracking,
MessageTrackingReadStatusEnabled,
MicrosoftOnlineServicesID,
ModeratedBy,
ModerationEnabled,
Name,
NetID,
NewPassword,
OABGen,
Office,
OfflineAddressBook,
OldPassword,
OriginalNetID,
Password,
PrimarySmtpAddress,
ProhibitSendQuota,
ProhibitSendReceiveQuota,
PstProvider,
PublicFolder,
QueryBaseDN,
QueryBaseDNRestrictionEnabled,
RecipientLimits,
RecoverableItemsQuota,
RecoverableItemsWarningQuota,
RejectMessagesFrom,
RejectMessagesFromDLMembers,
RejectMessagesFromSendersOrMembers,
RemoteAccountPolicy,
RemoteRecipientType,
RemoveManagedFolderAndPolicy,
RemovePicture,
RemoveSpokenName,
RequireSecretQA,
RequireSenderAuthenticationEnabled,
ResetPasswordOnNextLogon,
ResourceCapacity,
ResourceCustom,
RetainDeletedItemsFor,
RetainDeletedItemsUntilBackup,
RetentionComment,
RetentionHoldEnabled,
RetentionPolicy,
RetentionUrl,
RoleAssignmentPolicy,
RoomMailboxPassword,
RulesQuota,
SamAccountName,
SCLDeleteEnabled,
SCLDeleteThreshold,
SCLJunkEnabled,
SCLJunkThreshold,
SCLQuarantineEnabled,
SCLQuarantineThreshold,
SCLRejectEnabled,
SCLRejectThreshold,
SecondaryAddress,
SecondaryDialPlan,
SendModerationNotifications,
SharingPolicy,
SimpleDisplayName,
SingleItemRecoveryEnabled,
SKUAssigned,
SKUCapability,
StartDateForRetentionHold,
SuiteServiceStorage,
TenantUpgrade,
ThrottlingPolicy,
Type,
UMDataStorage,
UMDtmfMap,
UMGrammar,
UsageLocation,
UseDatabaseQuotaDefaults,
UseDatabaseRetentionDefaults,
UserCertificate,
UserPrincipalName,
UserSMimeCertificate,
WhatIf,
WindowsEmailAddress,
WindowsLiveID,
Örnek olarak Set-Mailbox komutu parametrelerini aşağıda sıraladım.
AcceptMessagesOnlyFrom,
AcceptMessagesOnlyFromDLMembers,
AcceptMessagesOnlyFromSendersOrMembers,
AddOnSKUCapability,
AddressBookPolicy,
Alias,
AntispamBypassEnabled,
ApplyMandatoryProperties,
Arbitration,ArbitrationMailbox,
ArchiveDatabase,ArchiveDomain,
ArchiveName,
ArchiveQuota,
ArchiveStatus,
ArchiveWarningQuota,
AuditAdmin,
AuditDelegate,
AuditEnabled,
AuditLogAgeLimit,
AuditOwner,
BypassLiveId,
BypassModerationFromSendersOrMembers,
CalendarLoggingQuota,
CalendarRepairDisabled,
CalendarVersionStoreDisabled,
ClientExtensions,
Confirm,
CreateDTMFMapCustomAttribute1,
Database,
DefaultPublicFolderMailbox,
DeliverToMailboxAndForward,
DisplayName,DomainController,
DowngradeHighPriorityMessagesEnabled,
DumpsterMessagesPerFolderCountReceiveQuota,
DumpsterMessagesPerFolderCountWarningQuota,
EmailAddresses,EmailAddressPolicyEnabled,
EnableRoomMailboxAccount,
EndDateForRetentionHold,
EvictLiveIdExtensionCustomAttribute1,
ExternalOofOptions,
FederatedIdentity,
FolderHierarchyChildrenCountReceiveQuota,
FolderHierarchyChildrenCountWarningQuota,
FolderHierarchyDepthReceiveQuota,
FolderHierarchyDepthWarningQuota,
Force,
ForwardingAddress,
ForwardingSmtpAddress,
GMGen,
GrantSendOnBehalfTo,
HiddenFromAddressListsEnabled,
IgnoreDefaultScope,
ImListMigrationCompleted,
ImmutableId,
IsExcludedFromServingHierarchy,
IssueWarningQuota,
JournalArchiveAddress,
Languages,
LinkedCredential,
LinkedDomainController,
LinkedMasterAccount,
LitigationHoldDate,
LitigationHoldDuration,
LitigationHoldEnabled,
LitigationHoldOwner,
MailboxMessagesPerFolderCountReceiveQuota,
MailboxMessagesPerFolderCountWarningQuota,
MailboxPlan,
MailRouting,
MailTip,
MailTipTranslations,
ManagedFolderMailboxPolicy,
ManagedFolderMailboxPolicyAllowed,
Management,
MaxBlockedSenders,
MaxReceiveSize,
MaxSafeSenders,
MaxSendSize,
MessageTracking,
MessageTrackingReadStatusEnabled,
MicrosoftOnlineServicesID,
ModeratedBy,
ModerationEnabled,
Name,
NetID,
NewPassword,
OABGen,
Office,
OfflineAddressBook,
OldPassword,
OriginalNetID,
Password,
PrimarySmtpAddress,
ProhibitSendQuota,
ProhibitSendReceiveQuota,
PstProvider,
PublicFolder,
QueryBaseDN,
QueryBaseDNRestrictionEnabled,
RecipientLimits,
RecoverableItemsQuota,
RecoverableItemsWarningQuota,
RejectMessagesFrom,
RejectMessagesFromDLMembers,
RejectMessagesFromSendersOrMembers,
RemoteAccountPolicy,
RemoteRecipientType,
RemoveManagedFolderAndPolicy,
RemovePicture,
RemoveSpokenName,
RequireSecretQA,
RequireSenderAuthenticationEnabled,
ResetPasswordOnNextLogon,
ResourceCapacity,
ResourceCustom,
RetainDeletedItemsFor,
RetainDeletedItemsUntilBackup,
RetentionComment,
RetentionHoldEnabled,
RetentionPolicy,
RetentionUrl,
RoleAssignmentPolicy,
RoomMailboxPassword,
RulesQuota,
SamAccountName,
SCLDeleteEnabled,
SCLDeleteThreshold,
SCLJunkEnabled,
SCLJunkThreshold,
SCLQuarantineEnabled,
SCLQuarantineThreshold,
SCLRejectEnabled,
SCLRejectThreshold,
SecondaryAddress,
SecondaryDialPlan,
SendModerationNotifications,
SharingPolicy,
SimpleDisplayName,
SingleItemRecoveryEnabled,
SKUAssigned,
SKUCapability,
StartDateForRetentionHold,
SuiteServiceStorage,
TenantUpgrade,
ThrottlingPolicy,
Type,
UMDataStorage,
UMDtmfMap,
UMGrammar,
UsageLocation,
UseDatabaseQuotaDefaults,
UseDatabaseRetentionDefaults,
UserCertificate,
UserPrincipalName,
UserSMimeCertificate,
WhatIf,
WindowsEmailAddress,
WindowsLiveID,
Hiç yorum yok:
Yorum Gönder