none
Exchange 2010-RBAC: Neue Verwaltungsrolle definieren RRS feed

  • Frage

  • Guten Morgen,

    ich möchte eine neue Rollengruppe erstellen, um bestimmten Usern das Recht einzuräumen, Neue Postfächer, Kontakte & Distribution Groups anzulegen und zusätzlich noch die vorhandenen Postfächer zu verwalten. Mitglieder dieser Rollengruppe sollen nur auf den Exchange-Servern am Standort bzw. auf den Datenbanken am Standort selbst die Berechtigung dazu haben.

    Folgendes habe ich bisher gemacht:

    1. Erstellen einer neuen, leeren Rollengruppe:

    New-RoleGroup -Name "Recipient Managment Standort A"

    2. Erstellen eines Management Scopes (alle Datenbanken die mit StandortA_DB beginnen..):

    New-ManagementScope -Name "DB Scope Standort A" -DatabaseRestrictionFilter {Name -Like "StandortA_DB*"

    3. Verlinkung (Rollengruppe <-> Verwaltungsrolle)

    New-ManagementRoleAssignment -Name "RM StandortA_DBs Mail Recipient Creation"-SecurityGroup "Recipient Management Standort A" -Role "Mail Recipient Creation" -CustomRecipientWriteScope "DB Scope Standort A"

    Der Rollengruppe habe ich dann einen Testuser hinzugefügt. Wenn ich nun die Exchange-Console starte, bekomme ich auch wie gewünscht nur einen begrenzten Zugriff auf die Exchange-Umgebung.

    Wenn ich nun versuche ein neues Postfach od. ein neues Postfach für einen bereits vorhandenen AD-User (der noch keines hat) zu erstellen, bekomme ich folgende Fehlermeldung, egal auf welcher DB ich es versuche:

     

    Zusammenfassung: 1 Element(e). Erfolgreich: 0, Fehler: 1.
    Verstrichene Zeit: 00:00:00


    Test, Julian
    Fehler

    Fehler:
    The term 'Enable-Mailbox' is not recognized as the name of a cmdlet, function, script file, or operable program. Check the spelling of the name, or if a path was included, verify that the path is correct and try again.

    Ausführungsversuch eines Exchange-Verwaltungsshellbefehls:
    Enable-Mailbox -Identity 'domain_name/ou/Test, Julian' -Alias 'julian.test' -Database 'StandortA_DB1'

    Verstrichene Zeit: 00:00:00

     Was mache ich verkehrt? Habe es auch schon versucht den Scope auf die AD-Sites and Services des Standort A zu definieren anstatt auf die DB's, hat aber leider auch nicht funktioniert.

    Die Verlinkungen für die Verwaltungsrollen Distribution Groups, Mail Recipients & Move Mailboxes habe ich noch nicht angelegt, da ich erst sehen wollte, dass es mit der Rolle Mail Recipient Creation funktioniert.

    Bin für Tipps sehr dankbar! :-)

    Beste Grüße

    Julian.

    Montag, 6. August 2012 08:19

Antworten

Alle Antworten

  • Hi Julian,

    schau dir mail mit
    Get-ManagementRoleEntry "Mail Recipient Creation\*"
    welche Befehle du nutzen kannst. "Enable-Mailbox" gehört nicht dazu.

    Wenn es auch um's verwalten geht, solltest du auch "Mail
    Recipients" hinzufügen:
    New-ManagementRoleAssignment -Name "RM StandortA_DBs Mail Recipient
    Creation"-SecurityGroup "Recipient Management Standort A" -Role "Mail Recipients","Mail Recipient Creation" -CustomRecipientWriteScope "DB Scope Standort A"

    siehe auch hier:
    http://www.sysadminlab.net/exchange/rbac-and-exchange-2010-permission-model-explained-for-new-sysadmins


    Viele Grüße
    Christian

    Dienstag, 7. August 2012 06:10
    Moderator
  • Ansonsten gibts noch den RBAC Manager http://rbac.codeplex.com/ . Dort kann man sehr schön sehen welche "Rolle" welches CMDLet ausführen darf.

    Gruß

    Jörg

    Dienstag, 7. August 2012 08:14
  • Hi Christian, Hi Joerg,

    ich habe jetzt folgendes probiert:

    1. New-ManagementScope -Name "DB Scope" -DatabaseRestrictionFilter {Name -eq "DB1"}

    2. New-RoleGroup -Name "Recipient Management Helpdesk" -Roles "Mail Recipients","Mail Recipient Creation","Distribution Groups","Move Mailboxes" -CustomRecipientWriteScope "DB Scope"

    Dann dem Benutzer in die Gruppe gesteckt...jetzt bekomme ich folgende Fehlermeldung:

    meine.domain/ou_des_users/test123  liegt nicht innerhalb des gültigen Schreibbereichs. Speichervorgang kann nicht ausgeführt werden. Ausführungsversuch von Enable-Mailbox...

    Der User der in der Rollengruppe drinnen ist, kann auf obigen Pfad im Active Directory User erstellen. Es ist egal, ob ich einen neuen User + Postfach erstelle od. ob einem vorhanden Benutzer ein Postfach verpasse!

    Langsam bin ich mit meinem Latein am Ende... :-(

    Dienstag, 7. August 2012 14:31
  • Hi Julian79,

    das liegt nun daran, dass Du bei "-CustomRecipientWriteScope 'DB Scope'" eine Datenbank angegeben hast und das so nicht geht. Schau mal unter http://www.networksteve.com/exchange/topic.php/RBAC_-_How_to_restrict_User_to_create_users_in_specific_DB/?TopicId=24051&Posts=11 ich denke das ist ja in etwas das was Du machen moechtest.

    VG, Timo

    Dienstag, 7. August 2012 20:58
    Moderator
  • Hi Julian,

    meine.domain/ou_des_users/test123  liegt nicht innerhalb des gültigen Schreibbereichs. Speichervorgang kann nicht ausgeführt werden. Ausführungsversuch von Enable-Mailbox...

    hast du dir auf meinem Link mal den Punkt Troubleshooting angeschaut? :-)

    <user> isn't within you current write scope. Can't perform save operation.

    Da steht das, was Timo schreibt - Scope überarbeiten...


    Viele Grüße
    Christian

    • Als Antwort markiert Julian79 Donnerstag, 16. August 2012 10:38
    Mittwoch, 8. August 2012 07:20
    Moderator
  • Hi Timo, Hi Christian,

    besten Dank für Eure Hilfe. Ja, mit dieser Varainte funktioniert es nun bestens! Besten Dank für Eure Hilfe & sorry für den späten Reply! :-)

    Grüße

    Julian.

    Donnerstag, 16. August 2012 10:39