ADM: RBAC

Una de la novedades de Exchange 2010 son la RBAC opara asignar permisos sobre Exchange a los usuarios- En Exchange 200 y 2003 se hacia via delegación Wizard

En Exchange 2007 se mejoró, en antiguo rol de 200/2003 “Exchange Full Administrator” se llama en 2007 “Exchange Organization Administrators” .

En resumen estos eran los roles de Exchange 2007

  • Exchange Organization Administrators: los miembros administran la organization
  • Exchange View-Only Administrators: vista de solo lectura
  • Exchange Recipient Administrators – Permite modificar configuración de usuarios, grupos, contactos y Public Folders
  • Exchange Public Folder Administrators – Permite administrar Public Folders (introducido en exchange 2007 SP1)
  • Exchange Server Administrators – Permite administart completamente un particular Exchange 2007, siempre que sean miembros del gruoo local de administradores de ese Exchange 2007 en concreto

 

Concepto de RBAC

La teoría de RBAC es simple. La asignación de permisos es:

  • ¿Qué permisos asignaremos?
    (ROLE): Listado de los 60 roles; Por ejemplo el rol “Legal Hold” permite habilitar el Legal Hold en los mailboxes. El rol “Mail Tips” permite administrar los mail tips en la organización
  • ¿A quién asignaremos?
    (ROLE GROUP): Un role group, contendrá los Role Management antes explicados, y se asignara este Role Group a un usuario
    • New-RoleGroup -Name “MYRL” -Roles “Mail Recipients”, “Mail Enabled Public Folders” -Members pepe, juan
  • ¿Dónde?
    (SCOPE): en que ámbito puede trabajar este permisos; em toda la organización, en parte
  • Role assignment: lo pega todo. Es decir se crea un Role assignment y se asigna a un usuario


Formas de asignar permisos RBAC

  • Management Role Groups: las de por defecto y recomendada


  • Management role assignments policies: Permite al usuario configurarse parámetros a si mismo vía ECP


  • Direct user role assignment: método avanzado para asignar Roles directamente a los usuarios o grupos sin usar Role Group Role Assignments Oolicies, aunque hace más compleja la administración. Se usa el ManagementRoleAssignment.
    • New-ManagementRoleAssignment –Name TEST -Role ExtInterns –User pepe

 

 

ARQUITECTURA RBAC

El mapa es simple:

  • Role Group: contiene varios Roles (Reset Password, mail recipients) y se puede asignar a un usuario
  • Role (management role) contiene un conjunto ManagementRoleEntry (de cmdlets)
  • ManagemetRoleEntry: Son los cmdlets que conforman un Role
  • RoleAsssignment: Básicamente te permite asignar directamente un rol (Management Role) a un usuario, Role Group (grupo de seguridad), OU o una Policy. De esta forma no hay que crear un role group con sus roles y asignarlo a un usuarios


Management Role Scope

Un role Scope es el lugar de influencia donde se va a poder ejecutar el Role. Más allá de ese ámbito no podrá funcionar

Los ámbitos pueden ser:

  • Organización
  • Unidad organizativa
  • Servidor Exchange en concreto
  • Base de datos en concreto

Como poder definir Scopes

Los Scopes se pueden definir a nivel de Role assignment o con el comando New-ManagementRoleAssignment 

  • ManagemetRoleAssigment para OU Scopes
    • RecipientOrganizationalUnitScope
  • New|Set-ManagementScope  para Scopes de tipo Recipient y Configuration
    • RecipientRoot
    • RecipientRestrictionFilter
    • DatabaseRestrictionFilter | DatabaseList
    • ServerRestrictionFilter | ServerList

NOTA: cuando se definen los ámbitos con ManagementScope, luego se deben añadir al “pegamento” ManagementRoleAssignment con las propiedades, dependiendo del tipo creado en el Scope

  • CustomConfigWriteScope
  • CustomRecipientWriteScope
  • RecipientOrganizationalUnitScope

 

Hay tres categorías de ámbitos en Management Scope Roles

  • OU Scope:

    Indica en que OU se puede operar.

    • New-ManagementScope
      -RecipientRoot
      contoso.com/OU
    • New-ManagementRoleAssignment -Name -RecipientOrganizationalUnitScope
  • Recipient scopes:

    Los objetos de AD de Exchange

    • New-ManagementScope
      RecipientRestrictionFilter {RecipientType -eq “UserMailbox}
  • Config scopes:

    Los servidores y base de datos Exchange en donde se puede manipular. Podemos usar una lista de DDBB o podemos hacer un filtro

    • New-ManagementScope
      -DatabaseRestrictionFilter
      {
      Name -Like “DB*” }    // Filtro
    • New-ManagementScope
      -DatabaseList
      DB01                    // Filtro

       

    • New-ManagementScope
      -ServerRestrictionFilter
      {
      Name -Like “
      EXCH*” }    // Filtro
    • New-ManagementScope
      -ServerList
      EXCH01, EXCH02
                      // Filtro

 

Todos los ámbitos creados con el cmdlet New-managementScope, cuando los pegamos con New-ManagementRoleAssignment se pegan con la propiedad-CustomConfigWriteScope y -CustomRecipientWriteScope

 

 

Ejemplo de creación de Scopes

Paso 1: Creación de los Scopes por Ámbitos

Tenemos tres ámbitos donde trabajar con managementScopes (OU, Recipient, Config). Tras definir los Scopes luego lo tendremos que pegar a los Roles y Role group con ManagementRoleAssignment

OU Scope

  • New-ManagementScope -Name “OUScope” -RecipientRoot contoso.com/Ventas -RecipientRestrictionFilter {(RecipientType -eq “UserMailbox”) -or (RecipientType -eq “MailContact”)}

 

Recipient Scope

Crear un Scope para que afecte a destinatarios (Recipient Scope)

  • New-ManagementScope -Name “RecipScope” -RecipientRestrictionFilter { (DistinguishedName -Like “*,ou=sales,dc=chakka,dc=local”) -or (Distinguishedname -Like “*,ou=it,dc=chakka,dc=local”)}

 

Config scope:

El ámbito es por BBDD o por servidor de Exchange

  • New-ManagementScope -Name “DBScope” -DatabaseRestrictionFilter {Name -Like “DB*”}
  • New-ManagementScope -Name “DBScope” –DatabaseList DB01, DB02

 

  • New-ManagementScope -Name “SvrScope” -ServerRestrictionFilter {Name -Like “EXC*”}
  • New-ManagementScope -Name “SvrScope” –DatabaseList EX01,EX02

 

Paso 2: Asignar los Scopes a Role Assignment.

Tras crear los Scopes con sus tipos (OU, Recipients, Database) la única forma es pegarlos al role mediante Role Assignment

OU Scope

  • New-ManagementRoleAssignment <name> RecipientOrganizationalUnitScope “OUScope” -Role <role> [-SecurityGroup | user] <rolegroup |user>

     

Recipient Scope

  • New-ManagementRoleAssignment <name> CustomRecipientWriteScope “RecipScope” -Role <role> [-SecurityGroup | user] <rolegroup |user>

 

Config scope:

  • New-ManagementRoleAssignment <name> CustomConfigWriteScope
    “DBScope” -Role <role> [-SecurityGroup | user] <rolegroup |user>

Cuando creamos un RoleAssignment nos aparecería a donde estaría su ámbito. En este ejemplo no tiene nada


SCENARIO 1

Queremos manejar Public Folders sin eliminarlas, mover mailboxes y administrar grupos de distribución sin poder eliminar

  • Move the mailboxes
  • Manage Distribution Group except removing the Distribution Group

 

Paso 1: Crear ámbito (where)

En este caso no crearemos un ámbito, por lo tanto no lo creamos

Paso2: Crear Management Role (what):

Crearemos un rol basado en el original, y eliminaremos las entradas (cmdlet) remove de este rol

  • New-ManagementRole –Name “Helpdesk PF” –Parent “Public Folders”
  • Remove-ManagementRoleEntry “Helpdesk PF\Remove-PublicFolder”

     

  • New-ManagementRole –Name “Helpdesk DG” –Parent “Distribution Groups”
  • Remove-ManagemetnRoleEntry “Helpdesk DG\Remove-DistributionGroup

     

  • New-ManagementRole –Name “Helpdesk Move” –Parent “Move Mailboxes”

Paso 3: Creating Role Group (who)

Una vez creado el role. Podemos crear un Role Group en donde adjuntar los roles que acabamos de crear. Podemos aprovechar a crear un ámbito de OU en el Role Group (el único que permite) con lo que solo se podra trabajar en esta OU

  • New-RoleGroup –Name “RGhelpdesk”
    –Roles Helpdesk PF”, “Helpdesk Move”, “Helpdesk DG” –RecipientOrganizationalUnitScope “nike.local/Ventas”

Podíamos haber omitido crear un Role Group y haber asignado el Role directamente a un usuario

  • New-ManagementRoleAssignment –Name “adminMad” –Role “HelpDesk PF”, “HelpDesk DG”, “HelpDesk Move” –User pepe

 

Paso 4: Añadir a pepe como miembro del Role Group “Help Desk”

  • Add-RoleGroupMember –Identity “RGhelpdesk” –Member pepe

 

SCENARIO 2

Queremos que un Administrador (Sales Admin1) pueda modificar atributos de usuario (Set-User) como oficina, departamento, pero solo a los usuarios que están en la OU Ventas

1- Creating the Management Scope (Where)

Creamos un ámbito para poder trabajar solo en la OU Sales y solo sobre los buzones de usuario

  • New-ManagementScope -Name “Scope-Sales OU” -RecipientRoot “Contoso/Sales” -RecipientRestrictionFilter {RecipientType -eq “UserMailbox”}

2- Creating the Management Role (What)

Como queremos modificar propiedades de los buzones, creamos un role basado en “Mail Recipients“, y le borramos todos los cmdlet que no sean Get-Mailbox

  • New-ManagementRole -Name “MR-Sales Admins” -Parent “Mail Recipients”

     

  • Get-ManagementRoleEntry “MR-Sales Admins\*” | where {$_.name -ne “Get-Mailbox”} | Remove-ManagementRoleEntry

Ahora le agregamos la entradas a nuestro Role como los cmdlet y parámetros que se podrán usar

  • Add-ManagementRoleEntry “MR-Sales Admins\Set-User” -Parameters Identity, MobilePhone, Office

     

  • Add-ManagementRoleEntry “MR-Sales Admins\Set-Mailbox” -Parameters Identity, CustomAttribute1

3- Creating the Role Group (Who)

Ahora creamos el Role Group al cual le atachamos el Role y el ámbito y lo asignamos directamente a un usuario (asi no utilizamos “add-rolegroupmemebr”

  • New-RoleGroup -Name “RG-Sales Helpdesk” -Roles “MR-Sales Admins” -CustomRecipientWriteScope “Scope-Sales OU”

NOTA: vemos que el rol Management Role Assignment es creado automáticamente para enlace el Role y el RoleGroup. La convención es <ManagementRoleName>-<RoleGroupName>.

 

Management Role Group:

Es un contenedor de roles. Por defecto el sistema crea 16 Role Group, los cuales aparecen en el contenedor Exchange de active directory, pero realmente solo se usan 11, porque el resto son de uso interno de Exchange (los que empiezan por Exchange)


  • Delegated Setup – Si necesitamos implementar un Exchange 2010 que ha sido provisionado por un miembro del Organization management Role group
  • Discovery Management – Para administradores que necesitan hacer búsquedas en los mailboxes (discovery search) y también puede configurar Legal Hold en mailboxes
  • Help Desk – Para modificar y ver opciones de Outlook Web App options.
  • Hygiene Management – Para configurar el Antivirus y les agentes antispam de Exchange
  • Organization Management  Acceso a toda la organización de Exchange. Son los amos
  • Public Folder Management – Para administrar Public Folders y base de datos
  • Recipient Management – Para administrar destinatarios (usuarios)
  • Records Management – Configura caracteristicas de “cumplimiento” como Retention Policies, message Classifications, Transport Rules
  • Server Management –Para establecer en un servidor Exchange especifico tareas de configuración de Transport, UM y mailboxes.
  • UM Management – Para administrar configuración relacionada como UM
  • View-Only Organization Management – Ve todas las propiedades de los objetos de Exchange, pero nada mas

Via Active Directory podemos agregar un usuario a estos grupos y ya tendrán los permisos en el Role Group elegido. Es una forma rápida y fácil de asignar usuarios especialista a un Role Group.

 

  • Listar los Role Group existentes

Podemos obtener una lista de los Role Group (nos muestra los pre-definidos ya que aún no hemos creado ninguno nuevo)

  • Get-RoleGroup


Podemos ver en detalle los roles que tiene este Role Group, A quien hemos asignamos este role Group (nadie), descripción, y el roleAssignement

  • Get-RoleGroup “Help Desk” | FL


 

  • Creación de Role Group nuevo

Podemos crear un Role Group en el cual asignarle un Role y a su vez asignar el Role Group a un usuario,

New-RoleGroup -Name “<name>” -Roles “<role>” -Members <user | USG >

  • New-RoleGroup -Name “Nike-Test” -Roles “Retention Management” -Members jose

 

  • Añadir / eliminar miembros a un Role Group

Asignar un Role Group existente (el cual ya tendrá sus roles) a un usuario o grupo

  • Add-RoleGroup Member “<role group>” -Member <usr | USG>
  • Remove-RoleGroup Member “<role group>” -Member <usr | USG>

 

  • Modificar la membresía de un Role Group
    • Update-RoleGroupMember “<role group>” –Members Mark,Rob –Confirm:$false

 

 

 

 

 

 

Roles

Define un conjunto de cmdlets con sus parámetros, es decir un conjunto de tareas a realizar. Por ejemplo el rol “Mail Recipients” permite ejecutar tareas de administración de mailboxes, usuarios, contactos: Hay alrededor de 60 roles y los podemos ver con

  • Crear / eliminar un Role

Al igual que con el Role Group, Podemos crear un nuevo Role basándose en los existentes (los 66). Importante, solo se podrán cmdlets relacionados con este rol, no vale poner cualquiera

  • New-ManagementRole -Name “Redmond Journaling View-Only” -Parent Journaling
  • Remove-ManagementRole -Name “Redmond Journaling View-Only
  • Listar los Role Group existentes
    • Get-ManagementRole


 

 

Cada Role tiene asociado unos cmdlets y parametros. Podemos ver los cmdlets que tiene un Role en detalle


 

Y otra manera es con ManagementRoleEntry que veremos a continuación


 

 

Management Role Entries

Como vimos antes. Podemos ver los cmdlet de un Role con Get-ManagementRole o con el comando ManagementRoleEntry. El primero solo nos deja ver, pero el segundo nos permite crear/añadir7borrar entradas al rol.

 

  • Mostrar los cmdlet (entry) de un Role

Como sabemos los Roles se componen de varios cmdlets con los parámetros que pueden ejecutarse. Podemos los cmdlet (entry) de un Role (management role) con el comando: managementRoleEntry.

Get-ManagementRoleEntry “<role>:\<cmdlet>” |ft –autosize -wrap


  • Añadir una entrada a un role

     

    • Add-ManagementRoleEntry “ExInterns\Set-User” -Parameters Office,Phone,Mobilephone,Department,Manager

 

  • Eliminar (entry) a un Role

     

    • remove-ManagementRoleEntry “Role personal\get-ads*”

 

  • Añadir cmdlets (entry) a un Role

    Podemos añadir una entrada (entry) a un Role con “ManagementRoleEntry“, e incluso, que propiedades. Lo único es que al ser de un Parent debe de ser cmdlets relacionados con lo que va a hacer, no vale cualquiera

    • remove-ManagementRoleEntry “Role personal\get-ads*”

Management Role Assignment

El Management Role Assignments son enlaza un role group con un role, USG, User, Policy Assignmet y con los scopes si se hubieran creado

Es

New ManagementRoleAssignment –Name <xx>

  • SecurtityGroup
  • Role
  • User
  • Policy

CustomConfigWriteScope

RecipientOrganizationalUnitScope

CustomRecipientWriteScope

 

Se crean automáticamente por ejemplo al crear un Role Group y asignarle un Role, o manualmente como ManagementRoleAssignment

De hecho vemos que viene como Role–Role Group


Cuando buscamos información de un Role Group, entre ella nos dice los Role assidnments que tiene


Si nos fijamos en el Assignment Role “mailbox search-discovery management”. Vemos por la mitad el “Recipient Read Scope” y “Recipient write scope” esta establecidos en el ambito “Organization”, por lo que dese aquí se puede asignar un scope


 

Como se asigna automáticamente

También podemos que cuando creamos un Role Group nuevo y le asignamos el Role, automáticamente se crea esa “asociación” entre un Role Group y un Role


Y por consiguiente ya aparece en el listado


Como se asigna manualmente

Mediante el comando ManagementRoleAssignment podemos asignar un Rol a un usuario o grupo universal

En este caso tenemos un role llamado “zz test” creado por nosotros y basado en el rol Mail Tips, lo que haremos es crear una nueva asociación a entre el Role y un usuario

  • New-ManagementRoleAssignment -Name “assignment Test” -Role “zz test” -User juan


Ahora vemos como nos aparece el Management Role assignment. Como no está asociado a un Role Group no aparece con el formato <role>-<role group>, sino que nos aparece el nombre que le hemos dado y a quien está asignado este role. Vemos tambien que nos aparece el administrator con permisos para importar exportar buzones



 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

RBAC Por Shell

Desde la shell podemos hacer muchas más cosas, sobre todo con los management Roles (Roles)

  • Get-RoleGroup “Recipient Management” | fl.

Nos aparece una breve descripcion del Role group y aparece los roles (management roles) que tiene asociados


Escenario

Hemos contratado a una persona que queremos que solo configure solo unos detalles de un destinatarios (office, phone, Company, Department). Por lo tanto el permiso que necesita es un Set-User (no Set-ADUser)

Podemos tener 2 opciones:

  • Asignarle el Rol “Mail Recipients” pero tendrá muchas más permisos de lo que queremos
  • O podemos crear un nuevo Role (basado en el “Mail Recipient” y eliminar/añadir cmdlets a este nuevo Role para dejar lo deseado

Estos serían los pasos a seguir

PASO 1) Scope (Where):

Seria definir el ámbito en donde se aplicaría (New-ManagementScope). Aunque no lo haremos, un ejemplo seria

  • New-ManagementScope -Name “Hub Servers 1 through 3” -ServerList HubServer1, HubServer2, HubServer3
  • New-ManagementScope -Name “ExecMBX” -RecipientRoot “contoso.com/Executives”
  • New-ManagementRoleAssignment -Name “MRA” –user jose -CustomRecipientWriteScope “ExecMBX”

 

PASO 2) Role managemet (What)

Necesitamos definir un role. Ya que el role “Mail Recipient” se ajusta un poco, pero no queremos usar este role, ya que tiene más entradas de las que necesitara el usuario, lo que haremos será crear una Rol (management role) basándonos en el “Mail Recipients”, para más adelante eliminar los cmdlet que no nos interese (Get-ManagementRoleEntryRemove-ManagementRoleEntry, and Add-ManagementRoleEntry)

Por ejemplo podemos saber los cmdlet del role “Mail Recipient” para saber que comandos puede ejecutar.

  • Get-ManagementRoleEntry “Mail Recipients\*”


Creamos un Role basado en otro (así funciona la creación de un role)

  • New-ManagementRole -Name “ExInterns” -Parent “Mail Recipients”


Ahora eliminamos todos los cmdlet (menos uno) de este Role. Básicamente no eliminamos todos, porque es obligatorio que haya un Cmdlet.

Básicamente Set-User permitirá establecer configuraciones en los buzones, pòr lo que el resto de cmdlets no son necesarios, pero obviamente primero necesitan ver lo que pueden hacer (Get-User), así que vamos a obtener todos los cmdlet del Rol, y eliminar todo lo que no sea Get-User.

Obtenemos los cmdlets del Role que no son igual (not equal) a Get-users y los eliminamos

  • Get-ManagementRoleEntry “ExInterns\*” | Where {$_.name -ne “GetUser”} | RemoveManagemRoleEntry


Ahora vemos como nuestro Nuevo rol tiene las entradas de Get-User

  • Get-ManagementRoleEntry “ExInterns\*”


Como lo que quiero configurar es este rol solo pueda configurar los parámetros Office, Phone, MobilePhone, Department, Manager de un usuario (Set-User <user> -Department xxxx), y el rol solo tiene el cmdlet Get-User, le añado el cmdlet Set-User pero especificando los parámetros deseados, no todos

  • Add-ManagementRoleEntry “ExInterns\Set-User” -Parameters Office,Phone,Mobilephone,Department,Manager


Ya tenemos creado el Role personalizado con los parámetros. Podemos asignar este rol de dos formas:

  • Con ManagementRoleAssignements: lo asignaríamos directamente a un usuario/ Role group (Grupo universal
  • Crear un Role Group nuevo y asignarle el rol personalizado y a un usuario. E

 

PASO 3a) (WHO) à Modo avanzado: Crear ManagementRoleAssignment para asignárselo a un usuario

Es hora de asignar el Role al Role Group o a un usuario

  • New-ManagementRoleAssignment –Name TEST -Role ExtInterns –User pepe
  • New-ManagementRoleAssignment –Name TEST -Role ExtInterns –SecurityGroup IT

 

PASO 3b) (WHO) à Crear un role Group

Podemos crear un Role Group nuevo y asignarle el Role antes creado y a quien lo asignamos

  • New-RoleGroup -Name “Nike-Test” -Roles “ExInterns” -Members jose

Otra operación es asignar un Role Group a un usuarios / grupo universal

  • Add-RoleGroup Member “<role group>” -Member <usr | USG>

RBAC por ECP

Desde ECP podemos administrar Rloles, aunque no de una forma tan granular como la shell, ya que lo que podemos hacer es:

  • Añadir/eliminar miembros a un Role Group: Add-RoleGroupMember
  • Anadir roles a un Group

No podremos editar entradas en los Roles, crear nuevos Roles, crear ámbitos, etc..

Vamos a Toolbox > RBAC


En MyOrganization > Roles Auditing > Administrator Roles. Nos aparecen los Role Groups que tenemos y a la derecha los detalles del Role Group (miembros, que Roles tiene, ámbito a donde se aplica)

Podemos añadir un nuevo Role Group, pero no es posible editar los Roles (66) ni cmdlet de los roles


Doble click sobre el Role Group para editarlo

Aquí podemos definir el ambito / unidad organizativa del Role group, Asignar usuarios/USG a este Role Group o incluso añadirle nuevos Roles al role Group


 

 

 

Management Role Assignments Policies

Todos los buzones estan con un Default Role Assignmet Policy, y también es conocido por “Default Role”.

Esta directova permite al usuario configurar opciones en su OWA y tareas de autoadministración para cambiar cosas propias de él



Podemos ver el contenido de la Policy vía Shell y RCP

  • Get-RoleAssignmentPolicy -Identity “Default Role Assignment Policy”



No todo está activado. La política por defecto tiene lo siguiente configurado

  • MyBaseOptions    Permite ver y modificar la configuración básica de su mailbox y configuración asociada
  • MyContactInformation: permite modificar su información de contacto incluido información y teléfono (city, country, office)
  • MyVoiceMail: Permit ever y modificar su configuracion de Voice Mail
  • MyTextMessaging: Permite a los usuarios individuales crear, ver y modificar sus text messaging
  • MyDistributionGroupMembership: ermite ver y modificar sus membresía a grupos de distribución siempre que estos grupos los permita    

El usuario puede modificar algunas cosas en su OWA


Por ejemplo el Role “MyContactInformation” como el resto de las Default Assignments Role Policy está en el listado de “ManagementRoleAssignments“. Tenemos un formato <role>-<role group>


Y como es un Role podemos ver sus cmdlets; es un Set-Uset y puede cambiar la ciudad, office, mobile, etc… Es un rol que da permisos para ejecutar Set-User con algunos parametros

  • Get-ManagementRole MyContactInformation | fl RoleEntries


IMPORTANTE: No se puede asignar cualquier Role a una “Role Assignment Policy”, solo se puede asignar rloes de tipo end-user. Si intentamos añadir el Role “Mail Tips”, nos indica de ello


Como es un Role para ejecutar Set-User con algunos parametros, en teoría podríamos añadirle y quitarle cmdlets, pero como es un Role pre-diseñado nos dice que no es posible

  • Add-ManagementRoleEntry “MyContactInformation\set-user” -Parameters notes


Si nosotros eliminamos el Role Assignment (la unión del Role “MyContactInformation” con la policy “Default Role Assignment Policy” el usuario ya no podrá modificar nada

  • Remove-ManagementRoleAssignment ‘MyContactInformation-Default Role Assignment Policy’


 

Asignar una Role Assignment Policy

El administrador puede crear desde ECP una nueva Role Assignment Policy y luego la debe asignar via Shell


Vemos que se ha creado

  • Get-RoleAssignmentPolicy


Ahora la aplica a todos los mailboxes

  • Get-Mailbox | Set-Mailbox -RoleAssignmentPolicy “Nike Assignment Policy”

Ya los tenemos con la policy cambiada

  • Get-Mailbox | fl name,RoleAssignmentPolicy


 

 

 

 

LISTADO DE MANAGEMENT ROLES

 

  • Recipient Policies
    This role enables administrators to manage recipient policies, such as provisioning policies, in an organization.
  • Active Directory Permissions This role enables administrators to configure Active Directory permissions in an organization. Some features that use Active Directory permissions, or Access Control Lists (ACL), include transport Receive and Send connectors and mailbox send as and send on behalf of permissions.Permissions that are set directly on Active Directory objects can’t be enforced through RBAC.
    • Address Lists This role enables administrators to manage address lists, global address lists, and offline address lists in an organization.
    • Audit Logs This role enables administrators to manage the cmdlet audit logging in an organization.
    • Cmdlet Extension Agents This role enables administrators to manage cmdlet extension agents in an organization.
    • Database Availability Groups This role enables administrators to manage database availability groups (DAG) in an organization. Administrators who are assigned this role either directly or indirectly are the highest level administrators responsible for the high availability configuration in an organization.
    • Database Copies This role enables administrators to manage database copies on individual servers.
    • Databases This role enables administrators to create, manage, mount and dismount mailbox and public folder databases on individual servers.
    • Disaster Recovery This role enables administrators to restore mailboxes and database availability groups in an organization
    • Distribution Groups This role enables administrators to create and manage distribution groups and distribution group members in an organization.
    • E-Mail Address Policies This role enables administrators to manage e-mail address policies in an organization.
    • Edge Subscriptions This role enables administrators to manage edge synchronization and subscription configuration between Edge Transport servers and Hub Transport servers in an organization.
    • Exchange Connectors This role enables administrators to manage Exchange connectors in an organization. These connectors include routing group connectors and delivery agent connectors.
    • Exchange Server Certificates This role enables administrators to create, import, export, and manage Exchange server certificates on individual servers.
    • Exchange Servers This role enables administrators to manage Exchange server configuration on individual servers.
    • Exchange Virtual Directories This role enables administrators to manage Outlook Web App, Exchange ActiveSync, offline address books, Autodiscover, Windows PowerShell and web administration interface virtual directories on individual servers.
    • Federated Sharing This role enables administrators to manage cross-forest and cross-organization sharing in an organization
    • Information Rights Management This role enables administrators to managethe Information Rights Management (IRM) features of Exchange in an organization.
    • Journaling This role enables administrator to manage journaling configuration in an organization.
    • Legal Hold This role enables administrators to configure whether data within a mailbox should be retained for litigation purposes in an organization.
    • Mail Enabled Public Folders This role enables administrators to configure whether individual public folders are mail-enabled or mail-disabled in an organization. This role type enables you to manage the e-mail properties of public folders only. It doesn’t enable you to manage non-e-mail properties of public folders. To manage non-e-mail properties of public folders you need to be assigned a role that’s associated with the PublicFolders role type.
    • Mail Recipient Creation This role enables administrators to create mailboxes, mail users, mail contacts, and regular and dynamic distribution groups in an organization. This role can be combined with MailRecipients roles to create and manage recipients. This role type doesn’t enable you to mail-enable public folders. Use roles of type MailEnabledPublicFolders to mail-enable public folders. If your organization has a split permissions model where recipient creation is performed by a different group than those who perform recipient management, assign the MailRecipientCreation roles to the group that performs recipient creation and the MailRecipients roles to the group that performs recipient management.
    • Mail Recipients This role enables administrators to manage existing mailboxes, mail users, and mail contacts in an organization. This role can’t create these recipients. Use MailRecipientCreation roles to create them.This role type doesn’t enable you to manage mail-enabled public folders or distribution groups. Use the MailEnabledPublicFolders and DistributionGroup roles to manage these objects. If your organization has a split permissions model where recipient creation and management are performed by different groups, assign the MailRecipientCreation roles to the group that performs recipient creation and the MailRecipients roles to the group that performs recipient management.
    • Mail Tips This role enables administrators to manage MailTips in an organization.
    • Mailbox Search This role enables administrators to search the content of one or more mailboxes in an organization.
    • Message Tracking This role enables administrators to track messages in an organization.
    • Migration This role enables administrators to migrate mailboxes and mailbox content into or out of a server.
    • Monitoring This role enables administrators to monitor Exchange server service and component availability in an organization. In addition to administrators, this role can be used with service accounts used by monitoring applications to collect information about the state of Exchange servers.
    • Move Mailboxes his role enables administrators to move mailboxes between servers in an organization and between servers in the local organization and another organization.
    • Organization Client Access This role enables administrators to manage Client Access settings in an organization.
    • Organization Configuration This role enables administrators to manage organization-wide settings. Organization configuration that can be controlled with this role type include the following and more:
      • Whether MailTips are enabled or disabled for the organization.
      • The URL for the managed folder home page.
      • The Microsoft Exchange recipient SMTP address and alternate e-mail addresses.
      • The resource mailbox property schema configuration.
      • The Help URLs for the Exchange Management Console and Outlook Web App.
        • This role type doesn’t include the permissions included in the OrganizationClientAccess or OrganizationTr ansportSettings role types.
    • Organization Transport Settings This role enables administrators to manage organization-wide transport settings, such as system messages,site configuration, and
      other organization-wide transport settings.This role doesn’t enable you to create or manage transport Receive or Send connectors,
      queues, hygiene, agents, remote and accepted domains, or rules. To create or manage each of the transport features, you must be assigned roles associated with the following role types:

      • ReceiveConnectors
      • SendConnectors
      • TransportQueues
      • TransportHygiene
      • TransportAgents
      • RemoteandAcceptedDomains
        • TransportRules

           

    • POP3 And IMAP4 Protocols This role enables administrators to manage POP3 and IMAP4 configuration, such as authentication and connection settings, on individual servers.
  • Public Folder Replication This role enables administrators to start and stop public folder replication in an organization.
    • Public Folders This role enables administrators to manage public folders in an organization. This role doesn’t enable you to manage whether public folders are mail-enabled or to manage public folder replication. To mail-enable or disable a public folder, you must be assigned a role associated with the MailEnabledPublicFolders role type. To configure public folder replication, you must be assigned a role associated with the PublicFolderReplication role type.
    • Receive Connectors This role enables administrators to manage transport Receive connector configuration, such as size limitson an individual server.
    • Remote and Accepted Domains This role enables administrators to manage remote and accepted domains in an organization.
    • Retention Management This role enables administrators to manage retention policies in an organization.
    • Role Management This role enables administrators to manage management role groups; role assignment policies and management roles; and role entries, assignments, and scopes in an organization. Users assigned this role can override the role group managed by property, configure any role group, and add or remove members to or from any role group.
    • Security Group Creation and Membership This role enables administrators to create and manage universal security groups and their memberships in an organization. If your organization maintains a split permissions model where USG creation and management is performed by a different group other than those who manage Exchange servers, assign this role to that group.
    • Send Connectors This role enables administrators to manage transport Send connectors in an organization.
    • Support Diagnostics This role enables administrators to perform advanced diagnostics under the direction of Microsoft Customer Service and Supportin an organization.Caution This role grants permissions to cmdlets and scripts that should only be used under the direction of Customer Service and Support.
    • Transport Agents This role enables administrators to manage transport agents in an organization.
    • Transport Hygiene This role enables administrators to manage antivirus and anti-spam features in an organization.
    • Transport Queues This role enables administrators to manage transport queues on an individual server.
    • Transport Rules This role enables administrators to manage transport rules in an organization.
    • UM Mailboxes This role enables administrators to manage the Unified Messaging configuration of mailboxes and other recipients in an
      organization.
    • UM Prompts This role enables administrators to create and manage custom Unified Messaging voice prompts in an organization.
    • Unified Messaging This role enables administrators to manage Unified Messaging servers in an organization. This role doesn’t enable you to manage UM-specific mailbox configuration or UM prompts. To manage UM-specific mailbox configuration, use roles associated with the UMMailbox role type. To manage UM prompts, use the roles associated with the UMPrompts role type.
    • User Options This role enables administrators to view the Outlook Web App options of a user in an organization. This role can be used to help diagnose configuration problems.
    • View-Only Configuration This role enables administrators to view all of the non-recipient Exchange configuration settings in an organization. Examples of configuration that are viewable are server configuration, transport configuration, database configuration, and organization-wide configuration. This role can be combined with roles associated with the ViewOnlyRecipients role type to create a role group that can view every object in an organization.
    • View-Only Recipients This role enables administrators to view the configuration of recipients, such as mailboxes, mail users, mail contacts, distribution groups, and dynamic distribution groups. This role can be combined with roles associated with the ViewOnlyConfiguration role type to create a rolegroup that can view every object in the organization.
    • ApplicationImpersonation This role enables applications to impersonate users in an organization in order to perform tasks on behalf of the user.
    • Mailbox Import Export This role enables administrators to import and export mailbox content and to purge unwanted content from a mailbox.
    • MyBaseOptions This role enables individual users to view and modify the basic configuration of their own mailbox and associated settings.
    • MyContactInformation This role enables individual users to modify their contact information, including address and phone numbers.
    • MyProfileInformation This role enables individual users to modify their name.
    • MyRetentionPolicies This role enables individual users to view their retention tags and view and modify their retention tag settings and defaults.
    • MyTextMessaging This role enables individual users to create, view, and modify their text messaging settings.
    • MyVoiceMail This role enables individual users to view and modify their voice mail settings.
    • MyDiagnostics This role enables end users to perform basic diagnostics on their mailbox such as retrieving calendar diagnostic information.
    • MyDistributionGroupMembership This role enables individual users to view and modify their membership in distribution groups in an organization, provided that those distribution groups allow manipulation of group membership.
    • MyDistributionGroups This role enables individual users to create, modify and view distribution groups and modify, view, remove, and add members to distribution groups they own.
    • UnScoped Role Management This role enables administrators to create and manage unscoped top-level management roles in an organization. Unscoped to level management roles enable administrators to provide access to custom scripts and non-Exchange cmdlets.
    • View-Only Audit Logs This role enables administrators and end users, such as legal and compliance officers, to search the administrator audit log and view the results that are returned. The audit log can be searched using the Shellor reports can be run from the Exchange Control Panel. Users and groups assigned this role can view anything contained within the audit log, including the cmdlets that were run and who ran them, the objects they were run against, and the parameters and values that were provided. Because the results returned might include sensitive information, this role should only be assigned to those with an explicit need to view the information.
    • MyAddressInformation This role enables individual users to view and modify their street address and work telephone and fax numbers. This is a custom role created from the “MyContactInformation” parent role.
    • MyDisplayName This role enables individual users to view and modify their display name. This is a custom role created from the “MyProfileInformation” parent role.
    • MyMobileInformation This role enables individual users to view and modify their mobile telephone and pager numbers. This is a custom role created from the “MyContactInformation” parent role.
    • MyName This role enables individual users to view and modify their full name and their notes field. This is a custom role created from the “MyProfileInformation” parent role.
    • MyPersonalInformation This role enables individual users to view and modify their Web site address and home telephone number. This is a custom role created from the “MyContactInformation” parent role.
    • MyMailboxDelegation This role enables administrators to delegate mailbox permissions.

 

Escenario 1

Paso 1: Crear ámbito (where)

En este caso no crearemos un ámbito, por lo tanto no lo creamos

 

Paso2: Crear Management Role (what):

Crearemos un rol basado en el original, y eliminaremos las entradas (cmdlet) remove de este rol

  • New-ManagementRole –Name “Helpdesk PF” –Parent “Public Folders”
  • Remove-ManagementRoleEntry “Helpdesk PF\Remove-PublicFolder”
  • New-ManagementRole –Name “Helpdesk DG” –Parent “Distribution Groups”
  • Remove-ManagemetnRoleEntry “Helpdesk DG\Remove-Distribution Group”
  • New-ManagementRole –Name “Helpdesk Move” –Parent “Move Mailboxes”

 

Paso 3: Creating Role Group (who)

  • Una vez creado el role. Podemos crear un Role Group en donde adjuntar los roles que acabamos de crear. Podemos aprovechar a crear un ámbito de OU en el Role Group (el único que permite) con lo que solo se podra trabajar en esta OU
  • Podíamos haber omitido crear un Role Group y haber asignado el Role directamente a un usuario
  • New-ManagementRoleAssignment –Name “adminMad” –Role “HelpDesk PF”, “HelpDesk DG”, “HelpDesk Move” –User jose

Paso 4: Añadir a pepe como miembro del Role Group “Help Desk”

  • Add-RoleGroupMember –Identity “RGhelpdesk” –Member jose

Escenario 2

Queremos que un Administrador (Sales Admin1) pueda modificar atributos de usuario (Set-User) como oficina, departamento, pero solo a los usuarios que están en la OU Ventas

1- Creating the Management Scope (Where)

Creamos un ámbito para poder trabajar solo en la OU Sales y solo sobre los buzones de usuario

  • New-ManagementScope -Name “Scope-Sales OU” -RecipientRoot “adidas.local/Sales” -RecipientRestrictionFilter {RecipientType -eq “UserMailbox”}

     

2- Creating the Management Role (What)

Como queremos modificar propiedades de los buzones, creamos un role basado en “Mail Recipients”, y le borramos todos los cmdlet que no sean Get-Mailbox

  • New-ManagementRole -Name “MR-Sales Admins” -Parent “Mail Recipients”
  • Get-ManagementRoleEntry “MR-Sales Admins\*” | where {$_.name -ne “Get-Mailbox”} | Remove-ManagementRoleEntry

Ahora le agregamos la entradas a nuestro Role como los cmdlet y parámetros que se podrán usar

  • Add-ManagementRoleEntry “MR-Sales Admins\Set-User” -Parameters Identity, MobilePhone, Office
  • Add-ManagementRoleEntry “MR-Sales Admins\Set-Mailbox” -Parameters Identity, CustomAttribute1

3- Creating the Role Group (Who)

Ahora creamos el Role Group al cual le atachamos el Role y el ámbito

  • New-RoleGroup -Name “RG-Sales Helpdesk” -Roles “MR-Sales Admins” -CustomRecipientWriteScope “Scope-Sales OU”

NOTA: vemos que el rol Management Role Assignment es creado automáticamente para enlace el Role y el RoleGroup. La convención es <ManagementRoleName>-<RoleGroupName>.

Be the first to comment

Leave a Reply