none
Вопросики опытным специалистам RRS feed

  • Вопрос

  • Коллеги, добрый день. Есть вопросы, помогите с ответами.

    Exchange 2013.

    1) Как узнать какая модель используется в организации?

    Shared Permission Model или Split Permissions (Active Directory)  Model или Split Permissions (RBAC) Model?

    2) В аудите на контроллере домена вижу, что при добавлении пользователей в группу из EAC и EMS, действия производятся от серверов MBX входящих  в группу Exchange Server Trusted Subsystem, видимо так и с другими действиями. Я так понимаю это дефолтное поведение и как раз его можно изменить с помощью переключения моделей описанных в пункте1

    3) Нашел нерекомендованный способ запуска EMS через add.pssnapin powershell.microsoft.exchange.snapin.

    Правильно я понимаю что в таком случае мы обходим RBAC, но действия выполняемые нами производится уже от моей учетной записи, а не от сервера MBX который входит в группу Exchange Server Trusted Subsystem?



    17 ноября 2015 г. 18:48

Все ответы

  • 1) разница между моделями доступа. Если пользователь, входящий в гурппу Domain Admins, может из EMS создать пользователя в AD - разделения нет:

    В системе Exchange 2013 по умолчанию используется модель общих разрешений. Если в организации планируется использовать такую модель разрешений, то изменение каких-либо параметров не требуется. Эта модель не разграничивает управление объектами Exchange и Active Directory с помощью средств управления Exchange. Она позволяет администраторам использовать средства управления Exchange для создания субъектов безопасности в Active Directory.

    2) да, по умолчанию. думаю лучше не стоит делать каких-либо изменений. можете поиграться с аудитом, может можно выловить кто точно создал пользователя, а не Exchange Servers Trusted

    3) не уверен. вы так же проходите авторизацию.

    17 ноября 2015 г. 19:24
    Модератор
  • 3) Нашел нерекомендованный способ запуска EMS через add.pssnapin powershell.microsoft.exchange.snapin.




    Собственно, этот способ никуда и не терялся. Но в работе через штатную инициализацию сессии PoSh и "нерекомендованную" - есть разница.

    18 ноября 2015 г. 6:48
  • 3) Нашел нерекомендованный способ запуска EMS через add.pssnapin powershell.microsoft.exchange.snapin.




    Собственно, этот способ никуда и не терялся. Но в работе через штатную инициализацию сессии PoSh и "нерекомендованную" - есть разница.

    Что разница есть это понятно, а вот какая? :)
    18 ноября 2015 г. 17:24
  • 1) Как узнать какая модель используется в данный момент пока так и непонятно.

    2) Точно ли все действия выполняются от учетной записи компьютера сервера MBX?

    3) Какая разница между двумя вариантами запуска powershell? :)

    18 ноября 2015 г. 17:25
  • 1) Как узнать какая модель используется в данный момент пока так и непонятно.

    Если у вас в AD есть OU Microsoft Exchange Protected Group в которой находится группа безопасности Exchange Windows Permissions - это Split Permissions (Active Directory).

    Если у вас в AD нет OU Microsoft Exchange Protected Group, а группа безопасности Exchange Windows Permissions находится в OU Microsoft Exchange Security Group - это Shared Permission or Split Permissions (RBAC) Model.


    • Изменено Ivan.Basov 19 ноября 2015 г. 5:35
    18 ноября 2015 г. 20:00
  • В штатной сессии используется remote PoSh. Даже если инициировать сессию "локально".
    19 ноября 2015 г. 6:24