Bu yazımda sizlere Exchange 2013 Server üzerinden Role Based Access Control “RBAC” dan bahsedeceğim. Sistemimde Windows 2012 DC ve Windows 2012r2 üzerine kurulu Exchange 2013 Server Kurulu. Bu yazı sayesinde Windows 2012r2 üzerine Exchange 2013’ ün sorunsuz kurulduğunu da test etmiş oldum. Exchange 2013 ile yönetilebilirlik oldukça yüksek seviye’de tutulmuştur.  Bunların başında’da Role Based Access Control (RBAC) gelmektedir. Öncelikle Exchange’nin önceki sürümleri olan Exchange 2003 ve Exchange 2007/2010’da yönetim özellikleri nasıl sunulmuştur kısaca bakalım. Microsoft, Exchange 2003’de  Exchange System Manager, Exchange 2007/2010 ise Exchange Management Console (EMC) ve Exchange Management Shell (EMS) araçlarını yönetim aracı olarak sunuyordu.
Exchange 2003 Varsayılan Gruplar:
  • Exchange Full Administrator
  • Exchange Administrator
  • Exchange View Only Administrator
Exchange 2007 Varsayılan Gruplar:
  • Exchange Organization Administrators
  • Exchange Recipient Administrators
  • Exchange View-Only Administrators
  • Exchange Public Folder Administrators (Service Pack 1 ile geldi)
RBAC ile Exchange 2007′de olduğu  gibi Access Control List (ACL)’lerin üzerinde değişiklikler yaparak yönetim sağlamaya gerek kalmıyor. RBAC bize daha kapsamlı şekilde hangi kullanıcının hangi işlemi yapabileceği konusunda bir kontrol sağlıyor. RBAC sayesinde yönetimsel işlerin yanında kullanıcıların da kendi mailbox ve Distribution grupları için hangi işlemleri gerçekleştirebileceğini düzenleyebiliriz.  RBAC’de access verirken Sistem Adminleri ve Userlar için izleyebileceğimiz iki yol vardır.
Exchange 2010 Groups :
clip_image002

 

Understanding Role Based Access Control Exchange 2013
clip_image004

 

Exchange 2013 Groups :
clip_image006

 

Organization Management: Bu grubun üyesi olan kullanıcılar Exchange Server 2013 organizasyonunun tamamında yönetici yetkisine sahiptir. Mailbox Search ve Kapsam içinde bulunmayan üst düzey rollerini yönetme dışında her türlü yetkiye sahiptirler.
View-Only Organization Management: Bu grubun üyesi olan kullanıcılar Exchange organizasyonundaki her öğenin özelliklerini görebilirler ancak değişiklik yapamazlar.
Recipient Management: Bu grubun üyeleri alıcı yaratabilir veya ayarlarını değiştirebilir. Alıcı olarak mailbox, contact ve distribution groupları örnek verebiliriz.
UM Management: Unified Management Rolünün yönetimine sahiptirler. UM sunucu , Mailbox için UM ve UM auto attendant gibi ayarları yönetebilirler.
Help Desk: Bu kullanıcılar Exchange 2013 organizasyonu içerisinde yer alan alıcılar üzerinde bazı yetkilere sahiptir. Kullanıcıların Outlook Web App üzerinde bulunan özelliklerini değiştirme ve görüntüleme yetkisine sahiptir. Kullanıcının Adı Soyadı, Görünen adı, Adresi, Telefon Numarası gibi bilgilerini değiştirebilir ancak kullanıcının mailbox quota size veya database’ini değiştiremez. Kısaca bu role sahip kullanıcılar son kullanıcının Outlook Web App üzerindeki yetkilerine sahiptir. Son kullanıcınızın Telefon bilgisini değiştirme yetkisi yok ise Help Desk grubu üyesi kullanıcıda bunu değiştiremeyecektir.
Hygiene Management: Exchange 2013 organizasyonu içerisinde kullanılan veya kullanılacak olan Antivirus ve Anti-Spam özelliklerini yönetme yetkisine sahiptirler. Exchange 2013 ile entegre çalışan ürünler bu gruba servis hesapları ekleyebilir.
Records Management: Bu grubun üyesi kullanıcılar Exchange 2013 Organizasyonunda Retention Policy Tags, Message Classification ve Transport rule özelliklerini yönetebilir.
Discovery Management: Bu grubun üyesi kullanıcılar Mailbox Search işlemini yapabilir. Kullanıcı mailboxlarına Legal Hold uygulayabilir.
Public Folder Management: Public Folderları ve Public Folder Database’ini yönetebilirler.
Server Management: Bu grubun üyesi Exchange 2013 organizasyonunda bulunan bütün fiziksel sunucuları yönetme yetkisine sahiptir.
Delegated Setup: Bu grubun üyesi kullanıcılar sadece Exchange 2013 sunucu kurabilir ama yönetemezler.
Management Role Group: Sistem yöneticisi ve/veya sistem uzmanlarımıza yetki ve görevleri atamayı sadeleştirmeyi sağlayan Universal Security Grouplardır. Bu gruplara gerekli yetkileri (Management Roles) vererek belirleyeceğimiz kapsamdaki (Scope)  kullanıcı, distribution groupları gibi öğeleri yönetebiliriz.
Role holder: Management Role Group’a dahil ettiğiniz kullanıcılar Role Holder olarak adlandırılır.
Management role assignment: Management Role Group ile atanan management role arasındaki bağlantıdır.
Management role scope: Management Role Group’un hangi kapsamı yöneteceğini belirtir. Burada kapsam sunucular, Organizational Unit (OU) veya belli bir filtre ile ayrıştırılmış kullanıcılar olabilir.
Management role: Management Role Group üyelerinin (Role Holders) hangi göreve sahip olacağını belirtir. Management Role ‘ler kullanılabilecek komutlar topluluğudur da diyebiliriz.
Management role entries: Genellikle Management Role Group’a atanabilecek ve bu grup tarafından kullanılabilecek tek bir komut veya parametredir.
Hangi User ne yapacak?
  1. Role Holderları bulmak: Hangi User?
  2. Management Role Scope’u bulmak için: Nereye?
  3. Management Role veya Management Role Entries’i belirlemek için: Ne Yapacak?
IT çalışanlarımız için Mailboxlarının databaseler arasında taşınma yetkisini Ufuk TATLIDIL ve Berkcan TATLIDIL adlı IT Admin kullanıcılarıma vereceğim. Daha sonra bu grubun üyelerinin yönetimini de İlkim Ada TATLIDIL adlı kullanıcımızın yapmasını istiyorum. Bu yapıyı Management Role Group kullarak sağlayacağımdan grubumun adınıda “ITADMINS” olarak yapılandırdım.
  • Management Role Group: ITPRO
  • Role Holders: Ufuk TATLIDIL, Berkcan TATLIDIL
  • Role Group Management User: Ilkim Ada TATLIDIL
  • Management Role Scope: ITADMINS OU
  • Management Role: User Accounts – Move Mailboxes
clip_image008

 

Management Role Scope :
New-ManagementScope -Name “IT Admins Mailbox” -RecipientRestrictionFilter { RecipientType -eq ‘usermailbox’ } -RecipientRoot “msexchangetr.local/ITADMINS”
clip_image010

 

Management Role Group Oluşturulması :
New-RoleGroup -Name “ITPRO” -Roles “Move Mailboxes” -ManagedBy “ilkim.ada” -Members “ufuk.tatlidil”, “berkcan.tatlidil” -CustomRecipientWriteScope “IT Admins Mailbox
clip_image012

 

clip_image014

 

Get-RoleGroup “ITPRO” | fl komutu ile group bilgilerini kontrol edelim.
clip_image016

 

Şimdi Berkcan TATLIDIL user’ i ile Exchange 2013 ECP Console giriş yapıyoruz.
clip_image018

 

ECP Yönetim konsolunun kısıtlı olarak geldiğini görebiliyoruz.
clip_image020

 

 
 
 
Sil veya Oluştur ekranı dahi yok..
clip_image022

 

clip_image024

 

clip_image026
Management Role Groupları sayesinde Exchange 2013′ da iyi bir planlama ile yetkileri yönetmek daha kolay hale gelmektedir. Bu özellik sayesinde Organizasyonunuz üzerinde birçok Access Control tanımlaması yapabilirsiniz.
Makalemizin sonuna geldik. Umarım faydalı olmuştur.