實現Exchange Server 2013精細化權限管理

Exchange 2013內置的權限分配功能

以管理員身份登錄到Exchange Server 2013管理中心，在左側選擇“權限”項，在右側的“用戶角色”面板中顯示 名 為“Default Role Assignment Policy”項，這是默認的角色分配策略，賦予普通用戶基本的管理權限。點擊“+”按鈕，可以創建新的角色分配策略（如圖 1），輸入其名稱和描述信息，可以根據需要選擇聯系人信息，通訊組，通訊組成員資格，其他角色等具體的權限項目。

圖1 創建新的用戶角色

之后打開用戶郵箱管理窗口，在左側選擇“收件人”項，在右側打開目標郵箱的屬性窗口，在左側選擇“郵箱功能”項，在右側的“角色分配策略”列表中選擇上述策略項目，使其擁有指定的權限。管理員的角色和用戶的角色是不同的，在“權限”窗口中的“管理員”面板中顯示默認存在的安全組，不同的安全組擁有不同的權限，只需將用戶分配到對應的組中，就使其擁有特定的權限。例如選擇“Origanization Management”組，在其編輯窗口中的“成員”欄中點擊“+”按鈕，將目標用戶添加進來。這樣，該用戶就擁有完全控 制Exchange Server 2013服 務器的權限。如果將其添加到“Viewonly Origanization Management”組中，則其只能查看服務器的所有的配置信息。

Exchange Server 2013權限分配機制

使用默認的權限分配機制，可以滿足基本的管理需求。但是在一些大規模的Exchange的組織當中，默認的角色管理已經無法滿足實際的需求。只有通過自定義的角色，才能實現精細化的管理分配操作，讓特定的用戶擁有特定的權限。要想創建自定義角色，必須了解Exchange Server 2013的權限架構。在Exchange Server 2013中，是基于角色進行權限（即RBAC）分配的，不同的命令集合和對應的角色相關聯。

在EMC中執行“getexecommand”命令，可以列出所有的命令信息。例如使用“get-mailbox”命令可以查看用戶郵箱，使用“new-mailbox”命令來新建郵箱，使用“removemailbox”命令可以刪除郵箱，使用“set-mailbox”命令可以設置郵箱等?？梢詫⒕哂邢嚓P性的命令（例如郵箱管理，合規檢查等）設置為一個集合，與該集合對應的就是一個角色，因此說角色和具體的命令集合存在映射關系，有了角色之后，就可以將其分配給最終的用戶，這樣不同的用戶對特定的命令就擁有了執行的權限。

圖2 RBAC_Manager主界面

在角色分配過程中，就需要使用到角色分配的策略，該策略將角色和用戶或者組關聯起來。此外，還可以設置其寫入的范圍（即其作用域）。例如對于郵箱管理角色來說，其就包含了一系列的郵箱管理命令，使用角色分配策略將其和某些用戶關聯起來，這些用戶就變成了郵箱管理員。對于大型的網絡架構來說，在不同的網絡區域（例如城市A等）分別擁有不同的郵箱管理員，對于某個區域中的郵箱管理員來說，只能管理本區域內的郵箱。因此在角色分配過程中，就可以設置具體的作用范圍。作用范圍分為正向和反向兩類，對于前者來說，目標用戶只能針對指定的OU或者服務器進行操作。后者實際上是一個排除的范圍，目標用戶可以對除了指定的范圍之外的對象進行操作。

實現精細化權限分配操作

了解了RBAC的運行原理后，就可以通過自定義的角色配置，實現精細化的權限控制。在EMC中執行“get-command *role*” 命令，顯示所有和角色相關的命令，可以看到這些命令不僅眾多而且操作起來比較復雜。為此可以使用RBAC_Manager這一工具，來實現更加輕松的操作，該工具需要使用.NETFrameWork 3.5組件的支持。運行該工具，在其連接設置界面中Exchange Server 2013的域名，以及管理員賬戶和密碼，連接成功后在其主界面工具欄上點擊第一個按鈕，在左側列出所有的管理角色。

點擊第二個按鈕，顯示角色分配的策略。點擊第三個按鈕，顯示角色組。點擊第四個按鈕，顯示角色的范圍。點擊第二個按鈕，在左側列表中選擇“Default Role Assignment Policy”項，在右側列表中顯示該默認策略中的具體選項，可以根據需要選擇或者取消對應的選項。當然，對于普通的用戶的管理，其實沒有必要使用該工具，在Exchange Server 2012管理中心中已經可以實現類似的功能。該工具主要用來針對管理員賬戶進行角色自定義以精細化權限分配只用。

點擊第一個按鈕，在左側的“MANAGEMENT ROLES”列表中顯示所有的管理角色，針對不同的角色可以進行相應的而配置。例如選擇“Journaling”（日記）角色，在右側顯示與該角色相關的PowerShell命令，例如“Write-AdminiAuditLog”，“Set-TransportConfig”，“S e t-J o u r n a l R u l e”，“Remove-JournalRule”，“New-JournalRule”等。

選擇別的角色，也會顯示不同的命令集合。如果對目標角色默認的配置不滿意的話，可以自定義所需的角色。在選定的角色的右鍵菜單上點擊“New Role From Here”項，表示基于現有的角色進行操作，

輸入新角色的名稱（例如“NewRole1”），創建該角色。選擇該角色，在右側顯示該角色擁有的所有操作命令，可以根據需要保持或者取消對應的命令的選擇狀態。

例如，針對“Journaling”角色創建了新角色，如果希望其擁有讀取的權限，那么就只選擇“Get-Recipient”，“Get-JournalRule”，“Get-DomainController”命令，點擊“Save！”按鈕保存配置即可。

按照同樣的方法，可靈活的創建所需管理角色。

在左側選擇所需的自定義角色，在其右鍵菜單上點擊“New Role Assignment”項，在打開窗口中點擊“Search”按鈕，搜索并導入Active Directory中具體的組或者用戶。這樣，該組中的用戶就擁有了使用該角色中相關命令的權限。

選擇“CustomConfigWrit eScope” 項，寫 入 具 體的路徑，這樣可以定義正向的作用域。選擇“ExclusiveConfigWriteSco pe”項，可以輸入合適的路徑，來定義反向作用域的范圍。這樣目標用戶就只能在規定的范圍，執行對應的命令。