Exchange 2010 Role Based Access Control (RBAC) – 1.Bölüm

closeBu yazı 6 yıl 6 ay 19 gün önce yayınlanmış olduğundan güncelliğini yitirmiş veya içeriğindeki bilgilerin geçerliliği kaybolmuş olabilir. Herhangi bir yanlış anlaşılmadan bu site sorumlu değildir.

Exchange 2010’un yönetim açısından bir çok yenilik ile birlikte geldiğini daha önce belirtmiştim. Bunlardan en önemlilerinden biri de Role Based Access Control (RBAC). Bu konu çok geniş bir konu olduğundan birkaç bölümde genel hatları ile anlatmaya ve örneklemeye çalışacağım.

Role  Based Access Control’ü anlatmadan önce Exchange yönetimi önceki versiyonlarda nasıl yapılandırılmıştı ona bakalım.

Microsoft, Exchange 2003 için Exchange System Manager, Exchange 2007 ise Exchange Management Console (EMC) ve Exchange Management Shell (EMS) araçlarını yönetim aracı olarak sunuyordu. Bir diğer özellik olarak  Exchange 2003 ve Exchange 2007’de Exchange grupları sınırlıydı diyebiliriz.

Exchange 2003 Varsayılan Gruplar: (Ayrıntılı Bilgi)

  • Exchange Full Administrator
  • Exchange Administrator
  • Exchange View Only Administrator

Exchange 2007 Varsayılan Gruplar: (Ayrıntılı Bilgi)

  • Exchange Organization Administrators
  • Exchange Recipient Administrators
  • Exchange View-Only Administrators
  • Exchange Public Folder Administrators (Service Pack 1 ile geldi)

RBAC ise daha önceden belirttiğim gibi Microsoft Exchange Server 2010 ile gelen yeni yetkilendirme modelidir. RBAC sayesinde Exchange 2007’de yaptığımız gibi Access Control List (ACL)’lerin üzerinde değişiklikler yaparak yönetim sağlamaya gerek kalmıyor. RBAC bize daha kapsamlı ve ayrıntılı bir şekilde hangi kullanıcının hangi işlemi yapabileceği konusunda rahat bir kontrol sağlıyor. RBAC sayesinde yönetimsel işlerin yanında kullanıcıların da kendi mailbox ve Distribution grupları için hangi işlemleri gerçekleştirebileceğini ayarlayabiliyoruz. RBAC’de yetki verirken sistem yöneticileri ve kullanıcılar için izleyebileceğimiz iki ana yol var. Bunlar Management Role Groups ve Management Role Assignment Policies. Her iki yöntem de kullanıcılara gerekli yetkileri vermemizi sağlıyor. Bu yöntemlerin dışında daha ayrıntılı bir diğer yöntem ise Direct User Role Assignment.

Bu yöntemlerden ilki olan Management Role Groups’un yapısından bahsetmeden önce Exchange 2010 ile gelen varsayılan gruplara bir bakalım. Exchange 2003/2007 versiyonlarına göre Exchange 2010’da daha ayrıntılı bir grup yapısı ile karşı karşıyayız. Bu gruplar Universal Security Group’tur (USG). Exchange 2010 ile gelen varsayılan Role Grouplar şunlardır:

  • Organization Management: Bu grubun üyesi olan kullanıcılar Exchange Server 2010 organizasyonunun tamamında yönetici yetkisine sahiptir. Mailbox Search ve Kapsam içinde bulunmayan üst düzey rollerini yönetme dışında her türlü yetkiye sahiptirler.
  • View-Only Organization Management: Bu grubun üyesi olan kullanıcılar Exchange organizasyonundaki her öğenin özelliklerini görebilirler ancak değişiklik yapamazlar.
  • Recipient Management: Bu grubun üyeleri alıcı yaratabilir veya ayarlarını değiştirebilir. Alıcı olarak mailbox, contact ve distribution groupları örnek verebiliriz.
  • UM Management: Unified Management Rolünün yönetimine sahiptirler. UM sunucu , Mailbox için UM ve UM auto attendant gibi ayarları yönetebilirler.
  • Help Desk: Bu kullanıcılar Exchange 2010 organizasyonu içerisinde yer alan alıcılar üzerinde bazı yetkilere sahiptir. Kullanıcıların Outlook Web App üzerinde bulunan özelliklerini değiştirme ve görüntüleme yetkisine sahiptir. Kullanıcının Adı Soyadı, Görünen adı, Adresi, Telefon Numarası gibi bilgilerini değiştirebilir ancak kullanıcının mailbox quota size veya database’ini değiştiremez. Kısaca bu role sahip kullanıcılar son kullanıcının Outlook Web App üzerindeki yetkilerine sahiptir. Son kullanıcınızın Telefon bilgisini değiştirme yetkisi yok ise Help Desk grubu üyesi kullanıcıda bunu değiştiremeyecektir.
  • Hygiene Management: Exchange 2010 organizasyonu içerisinde kullanılan veya kullanılacak olan Antivirus ve Anti-Spam özelliklerini yönetme yetkisine sahiptirler. Exchange 2010 ile entegre çalışan ürünler bu gruba servis hesapları ekleyebilir.
  • Records Management: Bu grubun üyesi kullanıcılar Exchange 2010 Organizasyonunda Retention Policy Tags, Message Classification ve Transport rule özelliklerini yönetebilir.
  • Discovery Management: Bu grubun üyesi kullanıcılar Mailbox Search işlemini yapabilir. Kullanıcı mailboxlarına Legal Hold uygulayabilir.
  • Public Folder Management: Public Folderları ve Public Folder Database’ini yönetebilirler.
  • Server Management: Bu grubun üyesi Exchange 2010 organizasyonunda bulunan bütün fiziksel sunucuları yönetme yetkisine sahiptir.
  • Delegated Setup: Bu grubun üyesi kullanıcılar sadece Exchange 2010 sunucu kurabilir ama yönetemezler.
Etiketler: , , ,

Yayınlayan: Serkan Varoğlu

Yıldız Teknik Üniversitesi Elektrik Mühendisliğini bitirdim. Türkiye'de birçok farklı sektör ve firmada Sistem Yöneticiği yaptım. Bermudada 3 yıla yakın danışmanlık yaptıktan sonra şu anda İrlanda'da çalışma hayatıma devam ediyorum.