none
RBAC - unscoped Skript funktioniert nicht RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    ich versuche gerade ein selbst geschriebenes Powershell-Skript via Rbac bestimmten Benutzern zugänglich zu machen ohne dass diese die darin enthaltenen cmdlets ausserhalb dieses Skripts nutzen können. Ich habe die entsprechenden Rollen erstellt, so dass ich dieses Skript nun mit einem Testbenutzer, der keine weiteren RBAC-Rollen besitzt, ausführen kann.

    Allerdings erhalte ich dann beim Ausführen des Befehls set-mailbox xyz -domaincontroller abc.def.de ... die Fehlermeldung, dass der Parameter domaincontroller nicht gefunden wurde. Insgesamt sieht es so aus, dass einfach die Berechtigungen fehlen.Wenn ich das ganze Konstrukt allerdings richtig verstanden habe, sollte doch bei einem zugewiesenen Skript in den RBAC-Rollen dieses mit allen darin enthaltenen cmdlets ausgeführt werden oder irre ich mich da?

    Anbei noch den Befehl, den ich zum Bearbeiten der RBAC-Berechtigungen (Exchange 2010) abgesetzt habe:

    Add-ManagementRoleEntry "Quotamanagement Script\quotaManagement.ps1" -UnScopedTopLevel
    Dazu habe ich eine RoleGroup erstellt, in der der Testnutzer auch Mitglied ist.

    Ich wäre euch sehr dankbar, wenn mir jemand weiterhelfen könnte.

    Gruß

    Michael

    Dienstag, 15. Juli 2014 14:09
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    hat sich erledigt. Es lag daran, dass der Benutzer noch über eine weitere Rolle Rechte besaß und dort die entsprechenden Parameter nicht angegeben waren. Sobald ich diese Rolle entfernt hatte und nur noch das Skript erlaubt war hat es problemlos funktioniert.

    Ich verstehs zwar nicht so ganz, aber immerhin klappt das jetzt.

    Danke :-)

    • Als Antwort markiert MichaelF444 Mittwoch, 16. Juli 2014 07:18
    Mittwoch, 16. Juli 2014 07:18
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    http://blogs.technet.com/b/heyscriptingguy/archive/2012/01/13/use-powershell-and-rbac-to-control-access-to-exchange-server-cmdlets.aspx

    hilft dir das weiter, dort wird das Prozedere ja genau beschrieben?

    Dienstag, 15. Juli 2014 17:34
    |
  • Question
    Anmelden
    0
    Anmelden

    leider nicht. Genau so habe ich dies nämlich umgesetzt...

    Prinzipiell scheint das ja auch zu funktionieren. Der entsprechende User kann ja das entsprechende Skript schon via Shell starten. Allerdings laufen die darin enthaltenen cmdlets (bisher nur set-mailbox) nicht... ??

    • Bearbeitet MichaelF444 Mittwoch, 16. Juli 2014 04:39 Ergänzung...
    Mittwoch, 16. Juli 2014 04:22
    |
  • Question
    Anmelden
    0
    Anmelden

    hat sich erledigt. Es lag daran, dass der Benutzer noch über eine weitere Rolle Rechte besaß und dort die entsprechenden Parameter nicht angegeben waren. Sobald ich diese Rolle entfernt hatte und nur noch das Skript erlaubt war hat es problemlos funktioniert.

    Ich verstehs zwar nicht so ganz, aber immerhin klappt das jetzt.

    Danke :-)

    • Als Antwort markiert MichaelF444 Mittwoch, 16. Juli 2014 07:18
    Mittwoch, 16. Juli 2014 07:18
    |