Exchange 2010 presenta diverse tipologie di gruppi amministrativi a cui sono assegnati ruoli differenti.

I gruppi predefiniti sono adatti per i profili amministrativi più comuni ma ci possono essere delle eccezioni; delle volte infatti i gruppi o i ruoli di default hanno delle piccole funzionalità in più o in meno rispetto a quelle che vorremmo fornire ai nostri utenti amministrativi.

Per fortuna con RBAC è semplice, partendo magari dai gruppi e ruoli predefiniti, creare un gruppo amministrativo con esattamente le funzionalità desiderate.

Supponiamo, per esempio, di volere un gruppo amministrativo per la creazione e gestione di caselle di posta che però, per ragioni di sicurezza, non sia in grado di modificare i diritti di accesso sulle caselle di posta (un utente “malizioso” potrebbe sfruttare questo diritto per garantirsi un accesso non autorizzato alla casella di posta di un altro utente …).

La funzionalità che vogliamo inibire è quella riportata nelle seguenti figure relative all’EMC :

image               image

Il gruppo tra quelli standard da cui possiamo partire per definire il nuovo gruppo custom è il “Recipient Management”; tramite il comando seguente possiamo vedere tutti i ruoli associati a questo gruppo:

Get-RoleGroup -Identity "Recipient Management" |fl Name,Role*

image

Adesso, tra questi ruoli, dobbiamo capire quello che permette la modifica dei permessi di accesso alle caselle; possiamo individuarlo tramite il seguente comando:

Get-ManagementRole|where {$_.RoleEntries -match "Add-MailboxPermission"}|fl

image

Il ruolo che presenta la funzionalità incriminata è pertanto il “Mail Recipients”

Non è consigliato eseguire modifiche sui gruppi e ruoli di default pertanto il primo passo suggerito è creare un nuovo gruppo (partendo proprio dal “Recipient Management”):

$RG = Get-RoleGroup "Recipient Management"

New-RoleGroup "Recipient Management Limited" -roles $RG.roles

image

Il nuovo gruppo (“Recipient Management Limited”) comparirà su Active Directory nella OU “Microsoft Exchange Security Groups”

image

Per non fare confusione è consigliato (tramite powershell o aduc) valorizzare il campo “Description” con delle informazioni indicative sulle caratteristiche del gruppo.

image

A questo punto dobbiamo creare un nuovo ruolo, partendo ovviamente da quello standard “Mail Recipient”, da cui poi possiamo rimuovere le funzionalità non gradite:

New-ManagementRole -Name "Mail Recipients No Permission" -Parent "Mail Recipients" –WhatIf

New-ManagementRole -Name "Mail Recipients No Permission" -Parent "Mail Recipients"

image

Dal nuovo ruolo vogliamo rimuovere la possibilità di modificare i permessi della mailbox tramite il comando “Add-MailboxPermission”; quindi eseguiamo:

Get-ManagementRoleEntry "Mail Recipients No Permission\*" | Where { $_.Name -Like "Add-MailboxPermission*" } | Remove-ManagementRoleEntry –WhatIf

Get-ManagementRoleEntry "Mail Recipients No Permission\*" | Where { $_.Name -Like "Add-MailboxPermission*" } | Remove-ManagementRoleEntry

image

Per evitare che vengano modificati i diritti a livello di folder della mailbox conviene rimuovere dal nuovo ruolo anche il comando “Add-MailboxFolderPermission”:

Get-ManagementRoleEntry "Mail Recipients No Permission\*" | Where { $_.Name -Like "Add-MailboxFolderPermission*" } | Remove-ManagementRoleEntry –WhatIf

Get-ManagementRoleEntry "Mail Recipients No Permission\*" | Where { $_.Name -Like "Add-MailboxFolderPermission*" } | Remove-ManagementRoleEntry

image

Adesso quello che rimane da fare è sostituire, nel gruppo “Recipient Management Limited”, il ruolo “Mail Recipient” con quello nuovo in cui sono state rimosse le funzionalità non desiderate; questa operazione, oltre che da powershell, può essere eseguita dall’ECP (Exchange Control Panel):

Selezionare il nuovo gruppo …

image

Rimuovere dal gruppo il ruolo “Mail Recipients” …

image

… e aggiungere il nuovo ruolo “Mail Recipients No Permission”

image

Adesso l’utente appartenente al gruppo “Recipient Management Limited” sarà in grado di creare e gestire caselle di posta, ma se prova a modificare i permessi riguardanti l’accesso alla casella …

image          image

 

… otterrà il seguente errore clip_image016

 

image