Exchange2010中利用RBAC来控制用户权限
发布时间:2022-04-20 10:01:17 所属栏目:安全 来源:互联网
导读:在Exchange2010中为邮箱服务引入了一组丰富而实用的技术、功能与服务。RBAC(基于角色的访问控制)无疑是这一组功能的亮点之一。在2010的版本中,基于角色的访问控制(RBAC)将会替代老版本中所使用的权限模型。在这片文章中,笔者将着重给大家介绍一下RBAC的特
|
在Exchange2010中为邮箱服务引入了一组丰富而实用的技术、功能与服务。RBAC(基于角色的访问控制)无疑是这一组功能的亮点之一。在2010的版本中,基于角色的访问控制(RBAC)将会替代老版本中所使用的权限模型。在这片文章中,笔者将着重给大家介绍一下RBAC的特性以及部署过程中的注意事项。 一、RBAC对于不同类型的用户有不同的作用。 在2010的Exchange系统中,将会全部使用基于角色的访问控制体系。在2007以前的版本中所采用的权限控制模型将会被全部淘汰掉。其实基于角色的权限控制体系并不是一个新事务,在其他应用系统中都有比较不错的表现。微软在这里只是引进了这一体系,并结合Exchange的特点进行了优化而已。 这种设计即可以在不同的管理员之间进行合适的授权,以实现分工合;同时也可以提高系统的灵活性,为不同的分支机构分配不同的管理策略,并由各自的管理员负责维护。[IT专家网独家撰稿] 二、2010与2007版本权限管理的主要差异。 2010与2007在权限的管理上主要的差异就是在2010中使用了RBAC(基于角色的访问控制)体系。具体的来说,这个差异主要是体现在ACL访问控制列表上。 三、角色组管理的注意事项。 在实际工作中,我们可以将Exchange的用户分为两类:管理员用户和最终用户。而管理员用户又可以分为两类:管理员与开发人员。有时候可能Exchange的现有功能无法满足用户的需求(虽然现在Exchange的功能已经很强大),此时就需要在原有的功能上进行一些简单的二次开发或者部署配置。如可能需要跟OA系统集成等等。虽然他们同属于管理员,但是他们的任务是不同的。如开发人员可能只管理Exchange的特定功能,其很少会涉及到Exchange现有功能的配置。为了避免开发人员一不小心改动了邮箱配置给其他用户带来不必要的困扰,往往会对他们进行权限的控制。 假设遇到这种需求,该如何解决呢?笔者的建议是,通过2010的RBAC权限控制体系,可以将管理角色组分为两个。普通的管理员只维护组织、收件人等配置;而开发专家管理人员则只负责对Exchange的特定功能的开发与修改。通过这么分类,就可以防止这两类人员之间的工作相互干扰。 另外,管理角色组可以将管理角色与一组管理人员或者专家用户进行有机的关联。如开发人员只具有限的管理能力,没有被授予广泛的管理权限。此时也会出现一个新的问题。如当开发人员需要对刚才开发的某个功能进行测试,却发现自己没有某个作业的权限。遇到这种情况的话,又该如何处理呢?对此笔者也有一个建议。某个特定的角色组能够关联公用管理角色。这个公用管理角色可以使开发人员也可以参与到管理组织以及收件人的配置中去。在有需要的时候,如在测试的过程中可以将它们关联起来。等到完成之后,再剔除他们之间的关系。操作起来可以省心很多。 对于角色组的管理,笔者总结一下。主要就是对于非最终用户,在必要时也需要进行分类分组管理,以避免相互之间产生不必要的干扰。有时候由于某种特殊的原因需要“越权”的话,则可以将其临时关联到“公用管理角色”,以满足特定权限的需要。注意,等到作业执行完毕的时候,一定要收回相关的权限。“杯酒释兵权”,可以提高Exchange服务器的安全与稳定型。 (编辑:宁德站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐