none
exchange2010, rbac split permissions mode问题 RRS feed

  • 问题

  • exchange2010 rbac split permissions mode 描述

    (Permissions to create security principals in the Active Directory domain partition are controlled by RBAC. Only Exchange servers, services, )and those who are members of the appropriate role groups can create security principals.

    括号内如何理解?

     该模式和shared permissions mode 具体差别在哪里?能否简述下,文档看了有些无法理解

    https://docs.microsoft.com/en-us/exchange/understanding-split-permissions-exchange-2013-help

    除了rbac mode需要新建角色组,添加角色之外,隶属新角色组的用户才能新建创建新安全主体?还有什么区别?

    2019年1月25日 9:33

答案

  • 1. 如果这个管理员有 AD 权限,则可以创建安全主体。

    2. 在 RBAC split permission 模式下,特定角色组 (如 Organization Management)成员可以使用命令创建用户;AD split 模式下,只能通过 AD 管理工具来实现。

    3. RBAC split permission mode 能实现了更细化的权限分配,您可以根据组织的需要为不同的管理员分配有限的权限。当然,您也可以为 Exchange 管理员添加 AD 权限使他能同时管理 Exchange 和 AD。但是,如果使用的是 shared permission mode,则不能将两种权限分割开来。

    此致,

    Dawn Zhou


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    • 已标记为答案 nelson2004 2019年1月31日 2:11
    2019年1月30日 10:17
    版主

全部回复

  • 说简单一点,Exchange默认为Shared Permissions Mode,说直白一点这个模型下面,Exchange的管理员,是可以创建AD帐号的。

    如果估成rbac split permissions mode,则将Exchange和AD的管理权限进行了分割,Exchange管理员是不能直接创建AD帐号的(也就是说不能使用new-mailbox这种指令来创建AD帐号了)。分拆权限后,先在AD上创建帐号,然后再到Exchange上生成邮箱。

    你问这个问题,是看到最近爆的那个漏洞吧?我觉得可以先等等微软的补丁,不要轻易地去更改权限模型。

    个人意见。

    2019年1月25日 9:43
  • 十分感谢,确实是因为漏洞
    2019年1月28日 2:40
  • 您好,

    同意楼上观点。

    RBAC split mode 属于 Split permission mode 的一种,它把 Exchange 管理员角色和 AD 管理员角色分割开了。在这个模型下,AD 管理员才能创建安全主体,Exchange 管理员只能管理 AD 对象的属性中与 Exchange 相关的部分。

    括号部分所说的意思就是,在 RBAC 模型下,创建安全主体的权限是通过 RBAC 控制的,特定角色组里的成员可以创建安全主体。与它相对的是 Active Directory split permission,在这个模型下,创建安全主体的权限已经完全从 Exchange 中移除,也就是说 RBAC 已经不提供创建安全主体的选项,只能通过AD管理工具创建。

    此致,

    Dawn Zhou


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2019年1月28日 5:37
    版主
  • 我是否可以理解

    1/active directory split permissions 模式下,给予exchange管理员关于active directory最高的权限(比如将exchange管理员加入domain admins组)是否可以创建安全主体?

    2/使用exchange管理员登录邮件服务器,运行powershell 导入active directory 模块,是否可以使用new-aduser一类的命令?

    3/rbac split permissions mode 和 shared permissions mode 区别是?前者也可以给exchange管理员新建角色组,添加角色,达到和后者一样的效果

    2019年1月28日 8:07
  • 1. 如果这个管理员有 AD 权限,则可以创建安全主体。

    2. 在 RBAC split permission 模式下,特定角色组 (如 Organization Management)成员可以使用命令创建用户;AD split 模式下,只能通过 AD 管理工具来实现。

    3. RBAC split permission mode 能实现了更细化的权限分配,您可以根据组织的需要为不同的管理员分配有限的权限。当然,您也可以为 Exchange 管理员添加 AD 权限使他能同时管理 Exchange 和 AD。但是,如果使用的是 shared permission mode,则不能将两种权限分割开来。

    此致,

    Dawn Zhou


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    • 已标记为答案 nelson2004 2019年1月31日 2:11
    2019年1月30日 10:17
    版主
  • 十分感谢
    2019年1月31日 2:11