La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

RBAC Y HERRAMIENTAS EN EXCHANGE 2010

Publicada porRia Miers Modificado hace 10 años

Presentaciones similares

Presentación del tema: "RBAC Y HERRAMIENTAS EN EXCHANGE 2010"— Transcripción de la presentación:

1 RBAC Y HERRAMIENTAS EN EXCHANGE 2010

2 ROLE BASED ACCESS CONTROL

3 Exchange 2003 A través del “Delegation Wizard” de Exchange System Manager se asignan los siguientes roles a usuarios o grupos: Exchange Full Administrator Exchange Administrator Exchange View Only Administrator

4 Exchange 2007 En Exchange 2007 los roles de administración se incrementaron a los siguientes: Exchange Organization Administrators Exchange Recipient Administrators Exchange View-Only Administrators Exchange Public Folder Administrators Exchange Server Administrators

5 Objetivos La implementación actual está limitada
La administración es compleja Los permisos se fijan en función de los objetos, no de las tareas. Es necesario dar permisos excesivos para determinadas operaciones. Auditar la delegación de permisos es complicado No hay opción a la auto administración (Self-Service Management)

6 Exchange Server 2010 Access Control
Nuevas funcionalidades Roles administrativos basados en tareas Roles personalizados Ámbito de role Permisos forzados en toda la organización Control de acceso a nivel de tarea Opciones de auditoría y reporting

7 Componentes Management Roles Management Role Assignments Role Groups
Role Assignment Policies Management Role Scopes

8 Modelo Básico Role Assignment User, USG, Policy “Who” Scope “Where”
Role “What”

9

10 Objetos de RBAC en Directorio Activo

11 Management Roles Define los comandos que un usuario o un grupo de usuarios pueden ejecutar. Existen tres tipos: Built-In Management Roles Custom Management Roles Unscoped Top Level Management Roles Se compone de “Management Role Entries”, las tareas que los usuarios/grupos asignados pueden ejecutar

12 Management Role Scopes
Permite definir dónde se pueden ejecutar las tareas definidas en un role, sólo los objetos afectados por el “scope” pueden ser modificados por el usuario/grupo asignado al role Existen tres tipos de scope: Implícito – herdado del objeto padre Explícito - Se especifica al assignar el management role Exclusivo – Para limitar el acceso a ciertos objetos

13 Management Role Scopes
SCOPE IMPLICITO RecipientReadScope RecipientWriteScope ConfigReadScope ConfigWriteScope SCOPE EXPLICITO predefined relative scopes custom scopes

14 Role Groups Grupos Universales de Seguridad (USG) utilizados para facilitar la asignación de los “management roles” Se administran desde las herramientas de Exchange, no hay necesidad de utilizar las herramientas administrativas de Directorio Activo

15 Role Assignment Policies
Son objetos utilizados para enlazar un role con un buzón de usuario. Todas las asignaciones de role aplicadas sobre la política se aplicarán sobre el buzón del usuario. Los buzones tienen una propiedad llamada RoleAssigmentPolicy apuntando al nombre de la política aplicada sobre el mismo. Durante la instalación se facilita y asigna una política llamada “Default Policy”. Ésta se aplicará sobre todos los buzones durante su creación. Posteriormente se pueden crear nuevas políticas y aplicarlas sobre los buzones que necesitemos.

16 Management Role Assignments
Enlaza un management role con un objeto: User, Role Group, USG o Role Assignment Policy Únicamente puede enlzar un role, aunque el objeto al que esté enlazando el management role puede tener otros Role Assigments Se puede especificar el scope cuando se aplique (si no se especifica herderá el scope implícito)

17 Management Role Delegation
Al asignar un management role podemos especificar si el objeto sobre el cuál lo estamos asignando puede delegar el role hacia otros usuarios o grupos. La propiedad RoleAssignmentDelegationType property determina el comportamiento: Regular – no existe la delegación Delegating – los asignados pueden delegar el role hacia otros DelegatingOrgWide – los asignados pueden modificar el role y su asignación

18 Authorization Model El objetivo de RBAC es:
Forzar el control de acceso de forma consistente Prevenir que se pueda ignorar este control RBAC se ejecuta sobre PowerShell 2.0 y WinRM para facilitar acceso remoto a PowerShell a través de IIS El acceso remoto de PowerShell proporciona un espacio de ejecución en el servidor, donde se ejecutan los comandos

19 RBAC/Management Tool Interaction

20 RBAC y Active Directory
RBAC controla quién puede ejecutar una tarea, qué tarea puede ejecutar y sobre qué objetos puede ejecutar dicha tarea. No es necesario faciltar permisos a nivel de Directorio Activo, las acciones se ejecutan desde el contexto de Exchange Trusted Subsystem. De esta forma se consigue separar la administración de Directorio Activo y de Exchange.

21 RBAC CMDLETS Get-ManagementRole New-ManagementRole
Remove-ManagementRole Get-ManagementRoleEntry Add-ManagementRoleEntry Set-ManagementRoleEntry Remove-ManagementRoleEntry Get-ManagementScope New-ManagementScope Set-ManagementScope Remove-ManagementScope

22 RBAC CMDLETS (CONTINUED)
Get-RoleGroup New-RoleGroup Set-RoleGroup Remove-RoleGroup Get-RoleGroupMember Add-RoleGroupMember Update-RoleGroupMember Remove-RoleGroupMember Get-ManagementRoleAssignment New-ManagementRoleAssignment Set-ManagementRoleAssignment Remove-ManagementRoleAssignment

23 RBAC CMDLETS (CONTINUED)
Get-RoleAssignmentPolicy New-RoleAssignmentPolicy Set-RoleAssignmentPolicy Remove-RoleAssignmentPolicy Understanding Role Based Access Control

24 DEMO

25 HERRAMIENTAS EXCHANGE 2010

26 Herramientas en versiones anteriores
Funcionalidades Exchange 2003 Exchange System Manager Active Directory Users and Computers Exchange 2007 Windows PowerShell Exchange Management Shell Exchange Management Console

27 Objetivos Control de acceso
Se realiza dando permisos de forma granular dados directamente sobre los objetos de configuración. Acceso a las herramientas administrativas No tenemos forma de controlar la instalación de las herramientas y el intento de ejecución Auditing La auditoría sobre las acciones realizadas es limitada Self-Management

28 Remote PowerShell Las herramientas de Exchange 2007 se ejecutaban sobre Local PowerShell En Exchange 2010 se ejecutan sobre Remote PowerShell Esto es así gracias a Windows PowerShell v2.0 y Windows Remote Management (WinRM) v2.0 WinRM es la implementación de Microsoft del protocolo Web Services for Management (WSMan)

29 Fan-In Configuration Los clientes que ejecutan las herramientas de Exchange conectan a un servidor Exchange remotamente. Esto es así incluso cuando se están ejecutando desde el propio servidor. Se fuerza a utilizar puntos de conexión centralizados. Remote PowerShell utiliza IIS en el servidor Exchange para proveer WSMan, cargar el plug-in de PowerShell, y finalmente iniciar sesiones remotas de PowerShell Se necesita instalar PowerShell y WinRM en las máquinas clientes y servidores Al iniciar la sesión RBAC aplica el control de acceso. Los clientes sólo pueden ejecutar los comandos asignados a su role y sobre los objetos especificados en el scope

30 DEMO

31 Exchange Control Panel (ECP)
ECP es una aplicación AJAX diseñada para proveer de opciones de Self-Management a los usuarios. ECP está construído sobre Exchange Management Shell y utiliza ASP.NET y Windows Communication Foundation (WCF) web services para establecer la comunicación entre el cliente y el servidor.

32 Outlook Web App options page
Los usuarios pueden administrar su propia configración. Páginas/Opciones de “Self-Management”: Account – Puede modificar información personal Organize – acceso a Reglas, Respuestas Automáticas (OOF) y Delivery Reports Groups – Los usuarios pueden ver a qué grupos pertenecen y agregarse a otros grupos. Settings – Utilizado para administrar opciones de correo, calendario, etc, Phone – Muestra los teléfonos sincronizados y la configuración de los mensajes de texto Block or Allow – Para configurar listas de destinatarios seguros o bloqueados

33 Administration page En función del roles asignado dispondremos de cietas opciones de administración a través de Outlook Web App, dentro del display “Select what to manage”. Las opciones dispnibles son: Mailboxes – Se pueden hacer cambios en la configuración de los buzones. Groups – Podremos adminitrar las listas de distribución de la organización, ver el owner, miembros, si las altas necesitan aprobación, opciones de entrega, de correo y mail tips. External Contacts – Es posible crear contactos externos que serán incluidos en las listas de direcciones de la organización. Administrator Roles – Podemos ver los roles de administración y modificar sus miembros. User Roles – Permite asignar roles a una determinada política Reporting – Podemos obtener la información de seguimiento de los correos

34 ¿Qué es Toolbox? Las herramientas que compnen toolbox se dividen en dos categorías principales: Herramientas Microsoft Management Console (MMC) 3.0 dedicadas, almacenadas en su propia consola MMC. Herramientas independientes como el Best Practices Analyzer, que no están integradas en EMC y funcionan como un ejecutable separado. Las herramientas aparecen agrupadas de la siguiente forma: Configuration Management Tools Performance Tools Security Tools

35 DEMO

36 Q & A Grupo de soporte de Microsoft Exchange y Mensajería Unificada de España

37 Más acciones desde TechNet
Para ver los webcast grabados sobre éste tema y otros temas, diríjase a: Para información y registro de Futuros Webcast de éste y otros temas diríjase a: Para mantenerse informado sobre todos los Eventos, Seminarios y webcast suscríbase a nuestro boletín TechNet Flash en ésta dirección: Descubra los mejores vídeos para TI gratis y a un solo clic: Para acceder a toda la información, betas, actualizaciones, recursos, puede suscribirse a Nuestra Suscripción TechNet en:

Descargar ppt "RBAC Y HERRAMIENTAS EN EXCHANGE 2010"

Presentaciones similares

INTEGRANTES: GIOMARA ALVARADO JOHNNY YUQUILEMA. El directorio activo es una herramienta incluida en los sistemas operativos de Microsoft, encaminados.

INTEGRANTES: GIOMARA ALVARADO JOHNNY YUQUILEMA. El directorio activo es una herramienta incluida en los sistemas operativos de Microsoft, encaminados.
TNT4-04 KEY MESSAGE: Entry Slide SLIDE BUILDS: 0 SLIDE SCRIPT:

TNT4-04 KEY MESSAGE: Entry Slide SLIDE BUILDS: 0 SLIDE SCRIPT:
para Exchange Archivo del correo interno y externo

para Exchange Archivo del correo interno y externo
Mejoras en la gestión de calendarios en Exchange Server 2007

Mejoras en la gestión de calendarios en Exchange Server 2007
Inteligencia de Negocio con Microsoft Office Sharepoint Server 2007 Rubén Alonso Cebrián ralonso@informatica64.com.

Inteligencia de Negocio con Microsoft Office Sharepoint Server 2007 Rubén Alonso Cebrián
Gestión de recipientes, Políticas y Permisos en Exchange Server 2007

Gestión de recipientes, Políticas y Permisos en Exchange Server 2007
Herramientas de control de eventos y tareas en Windows Vista

Herramientas de control de eventos y tareas en Windows Vista
Administración de actualizaciones de seguridad

Administración de actualizaciones de seguridad
Introducción a Microsoft Operations Manager 2005 Joshua Sáenz G Joshua Sáenz G

Introducción a Microsoft Operations Manager 2005 Joshua Sáenz G Joshua Sáenz G
Implementaciones de Microsoft Operations Manager 2005 for Exchange.

Implementaciones de Microsoft Operations Manager 2005 for Exchange.
Implementación de SQL Server 2000 Reporting Services

Implementación de SQL Server 2000 Reporting Services
Microsoft MOM 2005 Gestión de servidores Exchange 2003

Microsoft MOM 2005 Gestión de servidores Exchange 2003
Protección de servidores de correo Exchange 2007 con Forefront para Exchange Iván Castro Gayoso Security Technology Specialist

Protección de servidores de correo Exchange 2007 con Forefront para Exchange Iván Castro Gayoso Security Technology Specialist
TNT1-64 KEY MESSAGE: This is Technet session TNT 1-64.

TNT1-64 KEY MESSAGE: This is Technet session TNT 1-64.
Implementación de Entornos de Colaboración Rubén Alonso Cebrián

Implementación de Entornos de Colaboración Rubén Alonso Cebrián
Windows Server 2003 Terminal Services Javier Pereña Peñaranda Código: HOL-WIN15.

Windows Server 2003 Terminal Services Javier Pereña Peñaranda Código: HOL-WIN15.
Virtual Desktop Infrastructure (VDI) from Microsoft

Virtual Desktop Infrastructure (VDI) from Microsoft
Control Parental en Windows Vista. Se ha dicho por ahí… …sobre Windows Vista: …sobre Windows Vista: - El usuario quiere trabajar y usar su ordenador,

Control Parental en Windows Vista. Se ha dicho por ahí… …sobre Windows Vista: …sobre Windows Vista: - El usuario quiere trabajar y usar su ordenador,
La nueva plataforma ya está aquí: Office 365

La nueva plataforma ya está aquí: Office 365
• SQL Server Integration Services SSIS

• SQL Server Integration Services SSIS

Presentaciones similares

Anuncios Google