1 / 27

Владимир Гребеник

Код сессии UCC301. Ведущий инженер по разработке. Microsoft. Управление доступом на основе ролей в практике администрирования Exchange : расширенные возможности из первых рук. Владимир Гребеник. Содержание. Компоненты RBAC и назначение ролей RBAC и списки управления доступом (ACL)

gzifa
Download Presentation

Владимир Гребеник

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Код сессии UCC301 Ведущий инженер по разработке Microsoft Управление доступом на основе ролей в практике администрирования Exchange: расширенные возможности из первых рук Владимир Гребеник

  2. Содержание • Компоненты RBAC и назначение ролей • RBAC и списки управления доступом (ACL) • Назначение ролей пользователям в разных лесах • Сферы действия • 2 способа делегирования прав • Эксклюзивные сферы действия • Роли без сферы действия • Демонстрация – делегирования роли с органичением сферы действия

  3. Назначение административных ролей Кто, что и над чем может выполнять Присвоение роли: привязка роли и сферы действияк держателю Держатель Должность Привязка Разрешения на основе задач Индивидуальные разрешения Role Entry Command: Parameters Command: Parameters Command: Parameters Role Entry Command: Parameters Command: Parameters Command: Parameters Присвоение роли Роль Элемент роли Command: Parameters Command: Parameters Command: Parameters Ролевая группа Присвоение роли Role Entry Command: Parameters Command: Parameters Command: Parameters Роль Элемент роли Command: Parameters Command: Parameters Command: Parameters Присвоение роли Роль Администратор / Специалист Сфера получателей Элемент роли Command: Parameters Command: Parameters Command: Parameters Сфера конфигурации Кто? Над чем? Что?

  4. Политики назначения ролей • Новым почтовым ящикам присваивается политика по умолчанию • Почтовому ящику может быть назначена только одна политика Держатель Должность Привязка Разрешения на основе задач Сфера = “Я” Присвоение роли Роль Политика назначения ролей Присвоение роли Роль Сфера = “Мои группы рассылки” Над чем? Что? Кто?

  5. RBAC и списки управления доступом (ACL)

  6. Назначение ролей пользователям в разных лесах • 2 способа – связанные пользователи и связанные ролевые группы LinkedRoleGroupSid Связанная ролевая группа Группа безопасности Роль Присвоение роли Администратор / Специалист MasterAccountSid Присвоение роли Роль Связанный пользователь

  7. Создание связанной ролевой группы [PS] C:\> $cred = Get-Credential moscow.contoso.com\vladg [PS] C:\> New-RoleGroup-LinkedDomainControllerdc1.moscow.contoso.com -LinkedCredential $cred -LinkedForeignGroupMonitoringUsers -Roles Monitoring -Name LinkedMonitoringUsers

  8. Создание связанной ролевой группы [PS] C:\> $cred = Get-Credential moscow.contoso.com\vladg [PS] C:\> New-RoleGroup-LinkedDomainControllerdc1.moscow.contoso.com -LinkedCredential $cred -LinkedForeignGroupMonitoringUsers -Roles Monitoring -Name LinkedMonitoringUsers

  9. Создание связанной ролевой группы [PS] C:\> $cred = Get-Credential moscow.contoso.com\vladg [PS] C:\> New-RoleGroup-LinkedDomainControllerdc1.moscow.contoso.com -LinkedCredential $cred -LinkedForeignGroupMonitoringUsers -Roles Monitoring -Name LinkedMonitoringUsers

  10. Создание связанной ролевой группы [PS] C:\> $cred = Get-Credential moscow.contoso.com\vladg [PS] C:\> New-RoleGroup-LinkedDomainControllerdc1.moscow.contoso.com -LinkedCredential $cred -LinkedForeignGroupMonitoringUsers -Roles Monitoring -Name LinkedMonitoringUsers

  11. Создание связанной ролевой группы [PS] C:\> $cred = Get-Credential moscow.contoso.com\vladg [PS] C:\> New-RoleGroup-LinkedDomainControllerdc1.moscow.contoso.com -LinkedCredential $cred -LinkedForeignGroupMonitoringUsers -Roles Monitoring -Name LinkedMonitoringUsers

  12. Создание связанной ролевой группы [PS] C:\> $cred = Get-Credential moscow.contoso.com\vladg [PS] C:\> New-RoleGroup-LinkedDomainControllerdc1.moscow.contoso.com -LinkedCredential $cred -LinkedForeignGroupMonitoringUsers -Roles Monitoring -Name LinkedMonitoringUsers

  13. Сфера действия • Каждое присвоение роли имеет четыре вида сфер: получатель (чтение, запись) и конфигурация (чтение, запись) • Сферы действия типа «чтение» задаются ролью и не изменяются • Сферы действия типа «запись» можно настраивать при назначении роли • Получатель: • Organizational Unit • Фильтр на основе свойств получателей, например {Department –eq 'Sales'} • Относительная сфера («Я», «Мои группы рассылки») • Конфигурация: • Список серверов • Список баз данных • Фильтр на основе свойств объектов, например {ServerSite-eq 'Seattle'}

  14. Создание новой сферы действия [PS] C:\> New-ManagementScopeRedmondDBs -DatabaseRestrictionFilter "{Name -like 'Redmond*'}" [PS] C:\> New-ManagementScopeRedmondUsers -RecipientRoot"Users" -RecipientRestrictionFilter"{Office -Like 'Redmond*'}" [PS] C:\>New-RoleGroup RedmondAdmins-Roles "Mail Recipients" -CustomConfigWriteScopeRedmondDBs-CustomRecipientWriteScopeRedmondUsers

  15. Создание новой сферы действия [PS] C:\> New-ManagementScopeRedmondDBs -DatabaseRestrictionFilter "{Name -like 'Redmond*'}" [PS] C:\> New-ManagementScopeRedmondUsers -RecipientRoot"Users" -RecipientRestrictionFilter"{Office -Like 'Redmond*'}" [PS] C:\>New-RoleGroup RedmondAdmins-Roles "Mail Recipients" -CustomConfigWriteScopeRedmondDBs-CustomRecipientWriteScopeRedmondUsers

  16. Создание новой сферы действия [PS] C:\> New-ManagementScopeRedmondDBs -DatabaseRestrictionFilter "{Name -like 'Redmond*'}" [PS] C:\> New-ManagementScopeRedmondUsers -RecipientRoot"Users" -RecipientRestrictionFilter"{Office -Like 'Redmond*'}" [PS] C:\>New-RoleGroup RedmondAdmins-Roles "Mail Recipients" -CustomConfigWriteScopeRedmondDBs-CustomRecipientWriteScopeRedmondUsers

  17. Создание новой сферы действия [PS] C:\> New-ManagementScopeRedmondDBs -DatabaseRestrictionFilter "{Name -like 'Redmond*'}" [PS] C:\> New-ManagementScopeRedmondUsers -RecipientRoot"Users" -RecipientRestrictionFilter"{Office -Like 'Redmond*'}" [PS] C:\>New-RoleGroup RedmondAdmins-Roles "Mail Recipients" -CustomConfigWriteScopeRedmondDBs-CustomRecipientWriteScopeRedmondUsers

  18. Эксклюзивная сфера действия • После создания эксклюзивной сферы действия любые действия над объектами, попадающими в эту сферу, запрещены всем администраторам • Для управления этими объектами требуется специальное назначение роли, связанное именно с эксклюзивной сферой действия • Администратор ролей может создать эти назначения • Работает аналогично неканоническому списку контроля доступа с запретом всем и индивидуальным разрешением (Deny All, Allow VIPAdmin) • При создании любой сферы действия можно указать параметр -Exclusive

  19. 2 способа делегирования прав • 1. Изменение членства в ролевых группах • Менеджер группы [PS] C:\>get-rolegroup r*| fl name, managedby Name : Recipient Management ManagedBy : {Сontoso.com/Microsoft Exchange Security Groups/Organization Management} Name : RedmondAdmins ManagedBy : {Contoso.com/Microsoft Exchange Security Groups/Organization Management, Contoso.com/Users/Administrator} • Обладатель ролей “Role Management” или “Security Group Creation and Membership” [PS] C:\>get-managementroleentry *\add-* -Parameters BypassSecurityGroupManagerCheck Add-RoleGroupMember Role Management {BypassSecurityGroupManagerCheck,… Add-DistributionGroupMember Security Group... {BypassSecurityGroupManagerCheck,…

  20. 2 способа делегирования прав • 2. Создание нового присвоения роли • Делегирующее присвоение роли (или ее родительской роли) [PS] C:\>[Environment]::UserName | %{Get-ManagementRoleAssignment -RoleAssignee $_ -role “Distribution Groups" } | ft Role, RoleAssigneeName, RoleAssignmentDelegationType, RecipientWriteScope-auto Role RoleAssigneeNameRoleAssignmentDelegationTypeRecipientWriteScope---- ---------------- ---------------------------- -------------------Distribution Groups Organization Management DelegatingOrgWideOrganizationDistribution Groups Organization Management Regular Organization • Сфера действия нового присвоения должна входить в сферу действия делегирующего присвоения • По умолчанию сфера нового присвоения идентична сфере делегирующего присвоения • Делегирование роли не транзитивно – только обладатели роли “Role Management” могут создавать делегирующие присвоения роли

  21. Роли, не присвоенные по умолчанию • Некоторые роли по умолчанию не присвоены никому, группа Organization Management имеет право назначить их (в том числе и себе) • Некоторые роли по умолчанию присвоены (изначально пустым) ролевым группам, группа Organization Management имеет право назначить роли и управлять членством ролевых групп

  22. Роли без сферы действия • У каждой роли, состоящей из командлетов Exchange, есть сфера действия • Exchange позволяет выполнять посторонние командлеты и скрипты Powershellв той же области выполнения (и под теми же правами), что и свои командлеты • Эти посторонние командлеты и скрипты выполняются «как есть», без ограничений • Контекст выполнения имеет максимальные права в Exchange и Active Directory – только надежные и проверенные командлеты и скрипты должны быть разрешены к удаленному выполнению! • Скрипты должны быть помещены в специальную папку (на каждом сервере, где их предполагается вызывать): C:\Program Files\Microsoft\Exchange Server\V14\RemoteScripts

  23. Делегирование с ограничением сферы действия Владимир Гребеник Демонстрация

  24. Обратная связь Ваше мнение очень важно для нас. Пожалуйста, оцените сессию, заполните анкету и сдайте ее при выходе из зала Спасибо!

  25. Вопросы • Код сессии UCC301 • Владимир Гребеник • Ведущий инженер по разработке • vladg@microsoft.com • Вы сможете задать вопросы докладчикам в зоне «Спроси эксперта» в течение часа после завершения этой сессии

More Related