PowerShell 在 Exchange 2013 中自定义 RBAC 权限

我们将继续“深度探索”系列。 您可能会在其中找到一些技术问题的答案。行业专家将提供对多个主题的见解，并研究最流行应用程序的一些新功能。该系列的第一篇文章可以在这里找到。另外，请阅读有关 Exchange 2013 CAS 配置的更多信息（第 1 部分、第 2 部分）！欢迎大家评论和讨论！

RBAC是Exchange 2013中新的权限模型。使用RBAC，我们不需要修改和管理访问控制列表（ACL）。它使我们能够在广泛和精细的层面上控制管理员和最终用户可以做什么。在 Exchange 2013 中，RBAC 现在控制可以执行的管理任务以及用户现在可以管理自己的邮箱和通讯组的范围。

角色组由以下组件组成，定义管理员和专家用户可以执行的操作：

• 管理角色组：管理角色组是一个特殊的通用安全组 (USG)，其中包含邮箱、用户、USG 以及属于该角色组成员的其他角色组。您可以在此处添加和删除成员，也是分配管理角色的地方。角色组上所有角色的组合定义了添加到角色组的用户可以在 Exchange 组织中管理的所有内容。
• 管理角色：管理角色是一组管理角色条目的容器。角色用于定义可以由分配角色的组成员执行的特定任务。管理角色条目是一个 cmdlet、脚本或特殊权限，可以执行角色中的每个指定任务。
• 管理角色分配：管理角色分配将角色和角色组关联起来。将角色分配给角色组可授予角色组成员使用角色中定义的 cmdlet 和参数的能力。角色分配可以使用管理范围来控制可以使用分配的位置。
• 管理角色范围：管理角色范围是对角色分配的影响或影响的范围。将角色分配给角色组时，管理范围将专门针对允许该分配管理的对象。然后，将分配及其范围分配给角色组的成员，并限制这些成员可以管理的内容。范围可以包含服务器或数据库、组织单位 (OU) 或服务器、数据库或收件人对象上的筛选器的列表。 举一个场景，帮助台团队需要提供“收件人管理”权限，负责创建和管理邮箱、创建和管理通讯组、移动和迁移邮箱以及最终跟踪邮件。但“收件人管理”权限还将提供删除和禁用访问权限。需要限制帮助台团队的此权限。我们按照以下步骤来自定义收件人管理权限。

首先，让我们使用以下命令了解“收件人管理”角色组下的管理角色

Get-Rolegroup “Recipient Management” | Select roles).roles | select name

我们只需从上面的命令结果中选择所需的管理角色并对其进行自定义以满足我们的要求。

• 分发组 - 需要定制。
• 邮件收件人创建 - 需要定制。
• 邮件收件人 - 需要定制。
• 消息跟踪 - 无需定制。
• 移动邮箱 - 无需定制。
• 收件人策略 - 不需要管理角色。
• 团队邮箱 - 不需要管理角色。

让我们按照以下步骤创建和自定义“收件人管理”角色组。

1. 使用以下 PowerShell 命令创建新角色组“帮助台管理员”

New-RoleGroup “HelpDesk Administrator”

Get-ManagementRole “Distribution Groups” | Get-ManagementRoleEntry

Get-ManagementRole "Distribution Groups" | New-ManagementRole "Distribution Groups with no Remove"

4. 然后，使用以下 PowerShell 命令从管理角色“没有删除的通讯组”中删除所有“Remove-*” cmdlet。

Get-ManagementRole "Distribution Groups with no Remove" | Get-ManagementRoleEntry | Where {$_.Name -like "remove*"} | Remove-ManagementRoleEntry -confirm:$false

New-ManagementRoleAssignment -SecurityGroup "HelpDesk Administrator" -Role "Distribution Groups with no Remove"

6. 这样，我们就自定义了“Distribution Groups”管理角色。现在，我们需要自定义“邮件收件人创建”和“邮件收件人”管理角色。

7. 下面是一组用于自定义“邮件收件人创建”管理角色的 PowerShell 命令。它创建一个新的自定义管理角色 - “邮件收件人创建，无需删除”并将其分配给“帮助台管理员”角色组。

Get-ManagementRole "Mail Recipient Creation" | New-ManagementRole "Mail Recipient Creation with no Remove"

Get-ManagementRole "Mail Recipient Creation with no Remove" | Get-ManagementRoleEntry | Where {$_.Name -like "remove*"} | Remove-ManagementRoleEntry -confirm:$false

New-ManagementRoleAssignment -SecurityGroup "HelpDesk Administrator" -Role "Mail Recipient Creation with no Remove"

Get-ManagementRole "Mail Recipients" | New-ManagementRole "Mail Recipients with no Remove"

Get-ManagementRole "Mail Recipients with no Remove" | Get-ManagementRoleEntry | where {$_.Name -like "remove*"} | Remove-ManagementRoleEntry -confirm:$false

New-ManagementRoleAssignment -SecurityGroup "HelpDesk Administrator" -Role "Mail Recipients with no Remove"

9. “消息跟踪”和“移动邮箱”管理角色不需要任何自定义，因为它们具有执行操作所需的 cmdlet。以下命令将默认角色“邮件跟踪”和“移动邮箱”分配给角色组“帮助台管理员”

New-ManagementRoleAssignment –SecurityGroup “HelpDesk Administrator” –Role “Message Tracking”

New-ManagementRoleAssignment –SecurityGroup “HelpDesk Administrator” –Role “Move Mailboxes”

Get-RoleGroup “HelpDesk Administrator” | Add-RoleGroupMember –Member Krishna.kumar

最后，我们拥有完全自定义的角色组“HelpDesk Administrator”。 “帮助台管理员”组成员的成员将有权创建和修改邮箱、通讯组等，但没有删除权限。希望您对使用 PowerShell 自定义 RBAC 权限有一定的了解。