Dossier Administration : Présentation de RBAC

L’avènement de Microsoft Exchange 2010 inclut une gestion complètement nouvelle des permissions que nous pouvions accorder sur l’environnement messagerie.

Ce nouveau modèle de permissions dont les accès sont basés sur des rôles (RBAC) va effectivement permettre, comme nous allons le voir, de déléguer plus finement les permissions.

Avant de rentrer dans la technique pure et simple, des petits éclaircissements s’imposent afin d’améliorer la compréhension de chacun. La gestion des droits basés sur les rôles Exchange 2010 repose sur trois piliers fondamentaux qui sont « qu’est ce qui est modifié, par qui et sur quoi » ou plutôt, pour reprendre un langage plus SMS à la mode: le OuKoiKi.

Chaque rôle ou prérogative que vous allez préciser dans l’environnement Exchange va posséder une portée d’action (le ou). Cette portée d’action peut être une unité d’organisation, ou une partie plus restreinte de l’environnement Active Directory, basée soit sur des filtres de restriction de destinataire, (Recipient Restriction Filter) soit sur des filtres de restriction de serveur (Server Restriction Filter). L’exemple suivant illustre la création d’une portée particulière qui limite l’action future à l’étendue de l’unité organisationnelle VIP. La seconde précise une portée serveur dont l’étendue est limitée aux serveurs se situant sur le site de Marseille.

• New-ManagementScope -Name "
VIP BAL" -
RecipientRestrictionFilter {
RecipientType -eq 'UserMailbox' } -
RecipientRoot "itpro.loc/Vip"

• New-Managementscope -Name
"Serveurs Site Marseille" -
ServerRestrictionFilter { ServerSite
-eq 'Marseille' }

Ces deux portées ou étendues (scope) sont appelées des entendues régulières (regular) et permettent de limiter la future prérogative que vous accorderez. Des portées cette fois ci, exclusives sont présentes dans le but contraire. Celui d’interdire. Comme à l’accoutumée, les restrictions l’emportent sur les prérogatives et par conséquent, si vous accordez des prérogatives avec une portée régulière (regular) mais que vous restreignez celle-ci par un portée exclusive, c’est cette dernière qui l’emportera (uniquement dans le cas des fonctions d’écriture).

Mais quelle est l’utilité de ces portées exclusives (Explicite Scope) ? Elles sont là pour permettre un ajustement affiné des permissions afin de limiter l’étendue des prérogatives régulières qui sont fixées par une portée dirons nous, généraliste. Un exemple serait de permettre à un rôle d’avoir tous les droits de gestion (Lec ture- Ecriture) des destinataires dans une unité d’organisation (étendue régulière) mais sauf pour deux boîtes aux lettres se situant au sein de cet emplacement dont l’attribut fonction serait « Manager » (Etendue exclusive).

Cette notion d’étendue est vitale car elle va déterminer le champ d’application des prérogatives (Rôle). Heureusement pour nous, tout n’est pas à bâtir. Exchange 2010 possède en tout 65 rôles prédéfinis, des portées implicites et un certain nombre d’étendues prédéfinies.

Laurent Teruin - Consultant senior Exchange
Consultant senior en environnement Exchange / Lync, Participe à la conception d’architecture Messagerie et UC au sein de la société Exakis. MVP Exchange, coédite notamment un…

Participez aux Microsoft IT CampsBénéficiez de formations gratuites, ouvertes et interactives animées par des architectes Microsoft ! Les Microsoft IT Camps sont un nouveau format d'évènement d'une demi-journée vous proposant d'apprendre par la pratique et comprendre comment les solutions Microsoft répondent à vos enjeux au quotidien.Découvrez les thèmes des IT Camps