拆分权限使两个不同的组(如 Active Directory 管理员和 Microsoft Exchange Server 2013 管理员)能够管理各自的服务、对象和属性。Active Directory 管理员管理安全主体(如用户),这种安全主体可提供访问 Active Directory 林的权限。Exchange 管理员管理 Active Directory 对象上与 Exchange 相关的属性以及 Exchange 特定的对象创建和管理。 Microsoft Exchange Server 2013 提供下列类型的拆分权限模型:
配置 RBAC 拆分权限:
a.打开MBX(S05)的EMS, 使用以下命令除了创建角色组之外,还可以在新角色组与Mail Recipient Creation 角色和 SecurityGroup Creation and Membership 角色之间创建常规角色分配。 New-RoleGroup "HRAdmins" -Roles "Mail Recipient Creation", "Security Group Creation and Membership" b.使用以下命令在新角色组和“邮件收件人创建”角色以及“安全组创建和成员身份”角色之间创建委派角色分配。 New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "HRAdmins" -Delegating New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "HRAdmins" –Delegating c.使用以下命令将成员添加到新角色组 Add-RoleGroupMember "HRAdmins" -Member lianggj d.打开ADUC,修改HRAdmins组如下: e.添加HRAdmins作为Recipient Management组成员,让其拥有创建邮箱权限 2.删除从exchange管理组创建ADDS对象权限 a.使用以下命令查找所有分配给“安全组创建和成员身份”角色的常规和委派角色分配。该命令只显示Name、Role和 RoleAssigneeName属性。 Get-ManagementRoleAssignment -Role "Security Group Creation andMembership" | Format-Table Name, Role, RoleAssigneeName -Auto b.使用Remove-ManagementRoleAssignment命令删除所有分配给“安全组创建和成员身份”角色,且与该新角色组或您想要保留的任何其他角色组、USG 或直接分配不相关联的常规和委派角色分配。 Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Where {$_.RoleAssigneeName -NE "HRAdmins" } | Remove-ManagementRoleAssignment Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Where {$_.RoleAssigneeName -NE "HRAdmins" } | Remove-ManagementRoleAssignment 验证: 使用administratr登录EAC,打开收件人,新建用户灰色,不能创建。 参考:https://technet.microsoft.com/zh-CN/library/dd638155(v=exchg.150).aspx
|
|
来自: xiaozhuang > 《角色权限分配》