Role Based Access Control konusunda Management Role Groups’a 2.Bölüm’de bakmıştık. Şimdi ise kullanıcılarımıza kendi mailboxları üzerinde ne tür bir yetkilendirme yapabiliriz ona bakalım. Management Role Assignment Policies sayesinde kullanıcılarımızın neler yapabileceğini belirleyebiliyoruz.
Exchange 2010′da her mailbox’ı bulunan kullanıcıya varsayılan olarak Default Role Assignment Policy atanır.
Get-mailbox “ozan onder” | fl name,roleassignmentpolicy
Default Role Assignment Policy içerisinde bulunan varsayılan rollere de bir bakalım.
Get-ManagementRoleAssignment | ? {$_.Roleassigneename -ilike “Default Role Assignment*”} | ft Roleassignee,role
Default Management Role Assignment Policy’e verilmiş olan 5 tane Role var bu Role’ler kullanıcıya kendi mailbox’ı üzerinde bilgileri değiştirmesine izin veriyor. Örnek “Mycontactinformation” rolüne de bir bakalım.
Get-ManagementRoleEntry “MyContactInformation*” ft name,parameters -wrap
MyContactInformation rolü Default Role Assignment policy’e verildiğinden ve bu policy her kullanıcıya atandığından her kullanıcı kendi mailbox’ı için Set-User, Get-Mailbox’ı yukarıdaki ekran görüntüsünde bulunan parametreler ile çalıştırabilir.
Bu sayede kullanıcılar OWA üzerinden Contact Bilgilerini kendileri değiştirebilirler.
Kullanıcımız Phone, Fax, Mobile Phone bilgisini değiştiriyor.
Ama diyelim ki yapımızda biz kullanıcılarımızın herhangi bir şekilde kendi Phone, Fax, Mobile Phone bilgisini değiştirmelerini istemiyoruz.
Bu durumda adım adım nasıl yaparız örnekleyelim:
1. Yeni bir Role yaratıyoruz.
Aslında bizim istediğimiz değişiklik MyContactInformation rolündeki bir Parametreyi kaldırmak olduğundan MyContactInformation rolünü kopyalıyoruz.
New-ManagementRole “MyContactNOPHONE” -Parent MyContactInformation
2. Yeni bir Role Assignment Policy yaratıyoruz:
New-RoleAssignmentPolicy “IstanbulUsersPolicy”
3. Yeni yarattığımız Policy’e rolleri atıyoruz:
New-ManagementRoleAssignment -Role MyContactNOPHONE -Policy IstanbulUsersPolicy
New-ManagementRoleAssignment -Role MyVoiceMail -Policy IstanbulUsersPolicy
New-ManagementRoleAssignment -Role MyTextMessaging -Policy IstanbulUsersPolicy
New-ManagementRoleAssignment -Role MyBaseOptions -Policy IstanbulUsersPolicy
New-ManagementRoleAssignment -Role MyDistributionGroupMembers -Policy IstanbulUsersPolicy
4. Phone,Fax ve Mobile Phone değiştirilmesin diye parametreleri kaldırıyoruz:
Set-ManagementRoleEntry “MyContactNOPHONESet-User” -Parameters Phone,MobilePhone,Fax -RemoveParameter
5. Kullanıcımıza IstanbulUsersPolicy ismini verdiğimiz Role Assignment Policy’i uyguluyoruz:
Set-Mailbox “Ozan Onder” -RoleAssignmentPolicy “IstanbulUsersPolicy”
Bu işleme Explicit Role Assignment deniyor.
Eğer Default Policy’i bu policy ile değiştirmek isterseniz,
Set-RoleAssignmentPolicy “IstanbulUsersPolicy” -isdefault
komutunu kullanarak organizasyonunuzdaki bütün kullanıcılara uygulayabilirsiniz.
6. Ozan Kullanıcısı ile tekrar deniyoruz:
Kullanıcımız belirttiğimiz alanları artık değiştiremiyor.
Direct User Role Assignment
Son yöntemimiz ise Direct User Role Assignment yöntemi. Management Role Group veya Management Role Assignment Policy kullanmadan direk kullanıcıya rol atamak anlamına geliyor. Bu tek bir kullanıcıya özel ihtiyaçlardan dolayı uygulayabileceğiniz bir yöntem. Eğer grup veya assignment policy kullanarak gerekli yetkileri sağlayamıyorsanız bu yöntem ile kullanıcıya role atayabilirsiniz.
Örnek olarak Ozan kullanıcımız Exchange Serverları yöneteceğinden kullanımıza “Exchange Servers” rolünü verelim.
New-ManagementRoleAssignment -Name “Exchange Servers_Ozan” -Role “Exchange Servers” -User Ozan
RBAC konusu kapsamlı bir konu. Bu konuyu kısaca özetlemeye çalıştım. Örnekler arttırılabilir. RBAC ile ilgili merak ettiğiniz bir konu varsa yorum yazarak sorabilirsiniz. En kısa zamanda geri dönüş yapmaya çalışırım.
serkan bey vermiş olduğunuz bilgiler için çok sağolun. ancak ben çok araştırdım bulamadım. exchange 2010 rdac ışığında bir gruba, bazı gruplar için yetki vermek istiyorum. yetki ise, örneğin a grubu, c ve d distribution grubunda kullanıcı member etsin veya çıkarsın gibi. bunun için hangi komutu kullanmalıyım.
Adil Bey Merhaba,
Bir Distribution Group’un yönetimini kullanıcılarınıza vermeniz mümkün bunun için grubun ManagedBy bilgisini değiştirmeniz yeterli. Exchange 2010 RBAC ile varsayılan olarak kullanıcıların (eğer kaldırmadıysanız) “My Distribution Groups” ve “My Distribution Group Membership Roles” rolleri “default role assignment policy” içerisine dahil. Yine varsayılan olarak grupları kullanıcılar yaratmadığı zaman grubun sahibi yaratan admin kullanıcısı olacaktır.
Örneğin “Yoneticiler” isminde bir distribution grubun üyelerinin yönetimini “Adil” kullanıcısına atamak istiyorsanız.
1. Exchange Management Shell ile:
Set-DistributionGroup -Identity “Yoneticiler” -ManagedBy “adil@domainisminiz.local”
2. Exchange Management Console ile:
a. Recipient Configuration > Distribution Group.
b. Yoneticiler grubunu seçin ve Properties’i açın
c. Group Information sekmesinde Managed by kısmının içerisinden kullanıcıları ekleyin. (En az 1 adet account bulunması gerekiyor, son kullanıcıyı kaldıramazsınız)
Birden fazla kullanıcının ManagedBy hesablarından onay almadan eklemek istiyorsanız.
Exchange Management Shell ile:
Set-DistributionGroup -Identity “domainisminiz.local/Grubun_bulunduğu_OU/Yoneticiler”-BypassSecurityGroupManagerCheck -ManagedBy “Adil”, “Selcuk”,”Serkan”
komutunu kullanarak bu kullanıcılara yetki verebilirsiniz.
Bu sayede kullanıcılarını Exchange Control Panel üzerinden bu grubu yönetebilir.
Teşekkürler
Serkan bey çok teşekkürler çok yararı oldu gerçekten.
Ben teşekkür ederim.
hi fantastic little blog site you got right here
I utilize the same template on my website although for whatever silly explanation it would seem to reload quicker on this website although this site seems to have far more material. Are you currently applying different plugins or widgets which quicken it up? Do you think you might be able to share the plug ins so that I would be able to use them in my own web site so twilight eclipse fans could watch twilight eclipse online trailers and videos more quickly I would always be pleased – regards ahead of time 
hi if you want to make your WP faster you should try "WP Super Cache" plugin. It is very efficient and powerful.