Exchange Server: RBAC

Exchange Server: RBAC
Role-Based Access Control

Rol Tabanlı Erişim Kontrolü
Exchange Server üzerinde bazı yönetimsel işlemlerin gerçekleştirilmesi için belli hakların tanımlı olması gerekmektedir. Exchange Server 2000 ve 2003 üzerinde hak tanımlama işlemleri yetki devri ile gerçekleşiyordu. Yani bir hakka sahip olan bir kullanıcı haklarını bir başka kullanıcıya verebiliyordu. Exchange Server 2003 için varsayılan gruplar şunlardır:

• Exchange Full Administrator
• Exchange Administrator
• Exchange View Only Administrator

Ancak bu durum karışıklığa sebep olmaktaydı. Bu sebeple Exchange Server 2007 ile RBAC adı verilen yeni bir kontrol mekanizması oluşturulmuştur. Bu mekanizma Exchange Server 2007’deki bu mekanizmada AD nesneleri üzerinde ACL (Access Control List) değişiklikleri yapılmaktaydı. Exchange Server 2007 için varsayılan gruplar ise şunlardır:

• Exchange Organization Administrators
• Exchange Recipient Administrators
• Exchange View-Only Administrators
• Exchange Public Folder Administrators (Service Pack 1 ile geldi)

Exchange Server 2010 ile geliştirilen RBAC ile kullanıcı ve grupların erişim seviyelerinin tanımlanması ACL değişikliğine gerek kalmadan otomatik olarak gerçekleştirilmeye başlanmıştır. Gerekli olan haklar belirli kullanıcı gruplarına atanmış halde gelmektedir. RBAC sayesinde yönetimsel işlerin yanında kendi posta kutuları ve Distribution grupları için hangi işlemleri yapmaya yetkili oldukları ayarlanabilmektedir.

RBAC temelde “Kim Neyi Nerede yapmaya yetkilidir?” sorusuna cevap arar. Cevaba ulaşabilmek için RBAC modelinde rol gruplar 3 temele dayanır:

• Rol Grubu: Görevi gerçekleştirecek kullanıcıların bulunduğu Universal Security gruplardır. Kim sorusunun cevabıdır.
• Rol: Kullanıcılara atanan görev ve izinlerdir. Ne sorusunun cevabıdır.
• Rol Kapsamı: Hangi nesneler (kullanıcı, makine, OU vs) üzerinde görevin gerçekleştirileceğidir.