Автор Тема: Best practics по делегированию прав в AD и Exchange  (Прочитано 919 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн goro

  • Старожил
  • ****
  • Сообщений: 512
  • Рейтинг: 0
  • Пол: Мужской
    • romeo_2205
    • Просмотр профиля
  • Откуда: Киев
Доброго времени суток!
Поделитесь опытом кто и как ограничивает\дилегирует права для первой лини поддержки?
Как начал создавать список операций которые они выполняют, выходит что все права нужны....

Оффлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Best practics по делегированию прав в AD и Exchange
« Ответ #1 : 02 апреля 2018, 20:28:21 »
Как начал создавать список операций которые они выполняют, выходит что все права нужны....
Да ладно, что это все-то?
RBAC используете, надеюсь? Там встроенные группы неплохие, для поддержки, вот этой, что, недостаточно?

Цитировать
Recipient Management

Members of this management role group have rights to create, manage, and remove Exchange recipient objects in the Exchange organization.

Assigned Roles

Distribution Groups
Mail Recipient Creation
Mail Recipients
Message Tracking
Migration
Move Mailboxes
Recipient Policies
Team Mailboxes

Настраивается там всё очень гибко, можно не встроенные использовать, а на их основе свое создавать, правда, уже из повершелла.

И ссылочка в тему: https://www.codetwo.com/admins-blog/how-to-manage-role-based-access-control-in-exchange-2013/


Updated: 02 April 2018, 21:47:09

А-а, насчет AD не заметил вопрос, выше ответ по Exchange только.

« Последнее редактирование: 02 апреля 2018, 21:54:14 от Retif »

Оффлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Best practics по делегированию прав в AD и Exchange
« Ответ #2 : 02 апреля 2018, 22:05:13 »
Что касается AD. Во-первых, правильная структура OU. Типа такой:


Права поддержке выдаются на контейнеры "Company Users" и "Workstations". Обратите внимание, что такая структура позволяет гибко настраивать политики, минимально используя Security Filtering и выстраивая нормальное наследование прав.
OU со всякими важными учетки вынесены на один уровень с OU "Company Users", из тех же соображений.

По делегированию, посмотрите встроенную группу "Account Operators" и какие у нее права на встроенный контейнер Users, к примеру.