Сведения о сосуществовании разрешений в exchange 2007 и exchange 2010

Настраиваемые области

Настраиваемые области используются, когда ни неявная область записи, ни предварительно определенные относительные области не отвечают требованиям предприятия. Настраиваемые области позволяют определить на более детальном уровне область, к которой будет применяться роль управления. Например, она может применяться к определенному подразделению, определенному типу получателей или к тому и другому. Или можно разрешить группе администраторов управлять определенным набором баз данных почтовых ящиков.

Настраиваемые области, так же как и предварительно определенные относительные области, переопределяют неявные области записи и конфигурации организации, определенные для ролей управления. При этом неявная область чтения ролей управления продолжает применяться, и полученная настраиваемая область не должна выходить за границы неявной области чтения. Можно создать настраиваемые области трех типов.

  • Область подразделения. Область подразделения, которая является простейшей настраиваемой областью, создается с помощью параметра RecipientOrganizationalUnitScope командлета New-ManagementRoleAssignment . Область подразделения, указанная при назначении роли, позволяет пользователю, которому назначена эта роль, изменять только объекты получателей, находящихся в этом подразделении. Дополнительные сведения о добавлении назначения роли управления с областью подразделения см. в разделе Добавление роли пользователю или usG.

  • Область фильтра получателей. Области фильтра получателей используют фильтры для конкретных получателей на основе типа получателя или других свойств получателя, таких как отдел, руководитель, расположение и многое другое. Дополнительные сведения см. в разделе Recipient Filter Scopes.

  • Область конфигурации. Области конфигурации используют фильтры или списки для конкретных серверов на основе списков серверов или фильтруемых свойств, которые могут быть определены на серверах, таких как сайт Active Directory или роль сервера. Области конфигурации также могут использовать области баз данных для задания определенных баз данных на основе списков баз данных или фильтруемых свойств баз данных. Дополнительные сведения см. в разделе Configuration Scopes.

Простые, более сложные и детальные настраиваемые области получателей и конфигурации создаются с помощью командлета New-ManagementScope. При создании области получателей или конфигурации возвращаются только объекты получателей, серверов или баз данных, которые соответствуют своим областям. Когда для применения этих областей к назначению роли используется командлет New-ManagementRoleAssignment или Set-ManagementRoleAssignment, уполномоченный роли может изменять только те объекты, которые соответствуют этим областям. После создания настраиваемой области изменить тип области невозможно. Область получателей всегда будет областью получателей, а область конфигурации всегда будет областью конфигурации.

По умолчанию пользовательская область позволяет назначаемой роли получить доступ к набору объектов, которые соответствуют заданным областям. Однако они не исключают доступ к другим назначенным ролям, которым также не назначена та же или эквивалентная область. Любая пользовательская область может получить доступ к тем же объектам, если списки или фильтры в этих областях соответствуют тем же объектам. Могут быть объекты, для которых это поведение не требуется, например в случае руководителей. Для этих объектов можно определить монопольные области. Монопольные области используют фильтры или списки так же, как и обычные области, но, в отличие от обычных областей, запрещают доступ к объектам, включенным в область, всем, кто не входит в ту же или эквивалентную монопольную область. Дополнительные сведения о монопольных областях см. в разделе Общие сведения об исключительных областях.

Предварительно определенные относительные области

Сервер Exchange 2013 предоставляет несколько предварительно определенных относительных областей записи, которые можно использовать для изменения области роли управления. Предварительно определенные относительные области это простой способ удовлетворения потребностей предприятия без необходимости создавать настраиваемые области вручную. Относительными областями они называются потому, что они соотносятся с уполномоченным роли, которому присвоено сопоставленное назначение роли. Например, предопределенная относительная область ограничивает область записи только текущим пользователем. Предопределенная относительная область ограничивает область записи только группой рассылки, принадлежащей текущему пользователю. Предварительно определенные относительные области могут использоваться только для определения области объектов получателей. Предварительно определенные относительные области нельзя использовать для определения области объектов конфигурации. В следующей таблице приведены предварительно определенные относительные области, которые можно использовать.

Предварительно определенные относительные области

Неявные области Описание
Если он присутствует в области записи получателя роли, роль может создавать или изменять объекты получателей в организации Exchange. Если он присутствует в области чтения получателя роли, роли могут просматривать любой объект получателя в организации Exchange. Эта область используется только с областями чтения и записи получателей.
Если присутствует в области записи получателя роли, роль может изменять только свойства почтового ящика текущего пользователя. Если присутствует в области чтения получателя роли, роль может просматривать только свойства почтового ящика текущего пользователя. Эта область используется только с областями чтения и записи получателей.
Если присутствует в области записи получателя роли, роль может создавать или изменять объекты списка рассылки, принадлежащие текущему пользователю. Если присутствует в области чтения получателя роли, роль может просматривать объекты списка рассылки, принадлежащие текущему пользователю. Эта область используется только с областями чтения и записи получателей.

Предварительно определенные относительные области применяются при создании нового назначения роли управления. Во время создания назначения роли с помощью командлета New-ManagementRoleAssignment можно указать предопределенную относительную область с помощью параметра RecipientRelativeWriteScope . После создания назначения роли новая предварительно определенная роль переопределяет неявную область записи роли управления. Настраиваемую область получателей невозможно указать при создании назначения роли с предварительно определенной относительной областью. Тем не менее, при необходимости можно указать настраиваемую область конфигурации.

Дополнительные сведения о добавлении назначения роли управления с предварительно определенной относительной областью см. в разделе Добавление роли для пользователя или универсальной группы безопасности.

Политики назначения ролей управления

Политики назначения ролей управления связывают роли управления, предназначенные для пользователей, с пользователями. Политики назначения ролей состоят из ролей, определяющих, что пользователь может делать со своими почтовыми ящиками или группами рассылки. Эти роли не позволяют управлять компонентами, не связанными с пользователем напрямую. При создании политики назначения ролей определяются все действия, которые пользователь может выполнять над своим почтовым ящиком. Например, политика назначения ролей может позволять пользователю задавать отображаемое имя, а также настраивать голосовую почту и правила для папки «Входящие». Другая политика назначения ролей может позволять пользователю менять адрес, использовать текстовые сообщения и настраивать группы рассылки. Каждому пользователю почтового ящика Exchange 2013, в том числе администраторам, по умолчанию предоставляется политика назначения ролей. Можно выбрать политику назначения ролей, которая будет предоставляться по умолчанию, указать, какие элементы должны в нее входить, переопределить политику по умолчанию для отдельных почтовых ящиков или полностью отменить предоставление политик назначения ролей по умолчанию.

Обычно управление разрешениями на управление почтовыми ящиками и группами рассылки, предоставляемыми пользователям, осуществляется путем присваивания им политики назначения. Дополнительные сведения см. в разделе Общие сведения о политиках назначения ролей управления.

Политики назначения ролей состоят из следующих компонентов, определяющих допустимые действия пользователей над собственными почтовыми ящиками

Обратите внимание, что некоторые компоненты также применяются к группам ролей. При использовании с политиками назначения ролей эти компоненты ограничиваются, предоставляя пользователям возможность управления только для принадлежащих им почтовых ящиков:

  • Политика назначения ролей управления. Политика назначения ролей управления является специальным объектом в Exchange 2013. Пользователям присваивается политика назначения ролей при создании почтовых ящиков или при изменении политики назначения ролей для почтового ящика. Она также назначается для ролей управления конечных пользователей. Сочетание всех ролей в политике назначения ролей определяет для пользователя все функции управления почтовым ящиком или группами рассылки.

  • Роль управления. Роль управления — это контейнер для группировки записей ролей управления. Роли позволяют указывать определенные задачи, которые пользователь может выполнять с почтовым ящиком или группами рассылки. Запись роли управления — это командлет, скрипт или специальное разрешение, которое позволяет выполнять каждую конкретную задачу в роли управления. Роли конечных пользователей можно использовать только с политиками назначения ролей. Дополнительные сведения см. в разделе Общие сведения о ролях управления.

  • Назначение ролей управления. Назначение роли управления — это связь между ролью и политикой назначения ролей. Назначение роли политике назначения ролей позволяет использовать командлеты и параметры, определенные в роли. При создании назначения ролей между политикой назначения ролей и ролью область действия назначения указать нельзя. Область, применяемая назначением, — или . Все назначения ролей распространяются на почтовый ящик пользователя или его группы рассылки. Дополнительные сведения см. в статье Общие сведения о назначениях ролей управления.

Если необходимо изменить распределение ролей в политиках назначения ролей, следует изменить назначения ролей, связывающие роли с политиками назначения ролей. Если назначения, встроенные в Exchange 2013, не соответствуют вашим потребностям, вам не придется изменять эти назначения. Дополнительные сведения см. в статье Общие сведения о назначениях ролей управления.

Дополнительные сведения см. в статье Общие сведения о политиках назначения ролей управления.

Работа с политиками назначения ролей

Чтобы управлять разрешениями, предоставляемыми конечным пользователям для управления собственным почтовым ящиком в Exchange Server, рекомендуется использовать EAC. Используя Центр администрирования Exchange для управления разрешениями конечных пользователей, можно добавлять и удалять роли, а также создавать политики назначения ролей с помощью нескольких щелчков кнопкой мыши. Для выполнения этих задач в Центре администрирования Exchange предусмотрены простые диалоговые окна, такие как диалоговое окно Политика назначения ролей, показанное на рисунке ниже.

Диалоговое окно политики назначения ролей в Центре администрирования Exchange

Exchange Server включает политику назначения ролей с именем Политика назначения ролей по умолчанию. Эта политика позволяет пользователям, почтовые ящики которых связаны с ней, выполнять следующие задачи.

  • Вступать в группы рассылки, которые позволяют участникам управлять своим членством, или выходить из групп рассылки.

  • Просматривать и изменять основные параметры собственного почтового ящика, такие как правила папки «Входящие», поведение средства проверки орфографии, параметры нежелательной почты и устройства Microsoft ActiveSync.

  • Изменять свою контактную информацию, такую как рабочий адрес и номер телефона, номер мобильного телефона или пейджера.

  • Создавать, изменять и просматривать параметры текстовых сообщений.

  • Просматривать и изменять параметры голосовой почты.

  • Просматривать и изменять свои программы в marketplace.

  • Создавать групповые почтовые ящики и подключать их к спискам Microsoft SharePoint.

Чтобы добавить или удалить разрешения из политики назначения ролей по умолчанию или другой политики назначения ролей, используйте Центр администрирования Exchange. Открыв политику, установите флажки рядом с ролями, которые вы хотите назначить этой политике, и снимите флажки рядом с ролями, которые необходимо удалить. Изменения, внесенные в политику назначения ролей, применяются к каждому связанному с ней почтовому ящику.

Чтобы назначить разные разрешения разным типам пользователей организации, создайте политики назначения ролей. Укажите новое имя для политики, а затем выберите нужные роли. Создав политику назначения ролей, вы можете связать ее с почтовыми ящиками при помощи Центра администрирования Exchange.

Если вы хотите изменить политику назначения ролей по умолчанию, необходимо использовать командную консоль Exchange. После изменения все создаваемые почтовые ящики будут связываться с новой политикой назначения ролей по умолчанию, если таковая не была явно указана. Политика назначения ролей, связанная с существующими почтовыми ящиками, не изменяется при выборе новой политики назначения ролей по умолчанию.

Примечания.

Описание

Командлет Set-RoleAssignmentPolicy используется для изменения имени политики назначения или настройки политики назначения в качестве политики по умолчанию.

Дополнительные сведения о политиках назначения см. в разделе О политиках назначения ролей управления.

Для его запуска необходимо получить соответствующие разрешения. В этой статье перечислены все параметры командлета. Но некоторые из них могут быть вам не доступны, если они не включены в назначенные разрешения. Сведения о необходимых разрешениях для запуска командлетов и использования параметров в организации см. в статье Find the permissions required to run any Exchange cmdlet.

Членство в группе ролей

Чтобы добавить участников в эту группу ролей или удалить их из нее, см. раздел Управление участниками группы ролей.

По умолчанию только участники группы ролей управления организацией могут добавлять и удалять участников из этой группы ролей. Дополнительные сведения о добавлении дополнительных делегатов групп ролей см. в разделе «Добавление или удаление делегата группы ролей» статьи Управление группами ролей.

Следующую команду можно использовать для просмотра списка пользователей или универсальных групп безопасности, которые являются участниками этой группы ролей.

Дополнительные сведения об участниках группы ролей см. в разделе Просмотр членов группы ролей в статье Управление участниками группы ролей.

Копирование группы ролей

Использование Центра администрирования Exchange для копирования группы ролей

Если при предоставлении разрешений группы ролей другим пользователям необходимо применить другую область управления, удалить либо добавить одну или несколько ролей управления без необходимости добавлять все роли вручную, можно скопировать существующую группу ролей.

Важно!

Вы не можете использовать EAC для копирования группы ролей, если вы использовали командную консоль Exchange для настройки нескольких областей ролей управления или монопольных областей в группе ролей. Если вы настроили несколько областей или монопольных областей в группе ролей, необходимо скопировать группу ролей с помощью процедур командной консоли Exchange далее в этом разделе. Дополнительные сведения об областях ролей управления см. в разделе Understanding Management Role Scopes.

  1. В EAC перейдите в раздел Разрешения>Администратор Роли.

  2. Выберите группу ролей, которую нужно скопировать, и нажмите кнопку

  3. В окне Новая группа ролей укажите имя новой группы.

  4. Просмотрите роли, которые были скопированы в новую группу ролей. Добавьте или удалите роли при необходимости.

  5. Просмотрите область записи и при необходимости измените ее.

  6. Просмотрите членов, которые были скопированы в новую группу ролей. Добавьте или удалите членов при необходимости.

  7. Нажмите кнопку Сохранить, чтобы создать группу.

Копирование группы ролей без области применения с помощью командной консоли Exchange

  1. Сохраните группу ролей, которую необходимо копировать, в переменной с помощью следующей синтаксической конструкции:

  2. Создайте новую группу ролей, добавьте в нее членов и укажите пользователей, которые могут делегировать новую группу ролей другим пользователям, с помощью следующего синтаксиса.

    Например, следующие команды копируют группу ролей «Organization Management» и присваивают новой группе ролей имя «Limited Organization Management». В группу добавляются члены Isabelle, Carter и Lukas и назначаются пользователи, которые могут делегировать группу ролей: Jenny и Katie.

После создания группы ролей в нее можно добавлять роли или удалять роли из нее, изменять область назначений ролей и т. д.

Дополнительные сведения о синтаксисе и параметрах см. в разделах Get-RoleGroup и New-RoleGroup.

  1. Сохраните группу ролей, которую необходимо копировать, в переменной с помощью следующей синтаксической конструкции:

  2. Создайте новую группу ролей с настраиваемой областью с помощью следующей синтаксической конструкции:

Например, следующие команды копируют группу ролей «Organization Management» и создают новую группу ролей с именем «Vancouver Organization Management» с областью получателей «Vancouver Users» и областью конфигурации «Vancouver Servers».

Вы также можете добавить участников в группу ролей при ее создании с помощью параметра Members , как показано в разделе , описанной выше в этом разделе. Дополнительные сведения об областях управления см. в разделе Understanding Management Scopes.

После создания группы ролей в нее можно добавлять роли или удалять роли из нее, изменять область назначений ролей и выполнять другие задачи.

Дополнительные сведения о синтаксисе и параметрах см. в разделах Get-RoleGroup и New-RoleGroup.

Копирование группы ролей с областью подразделения с помощью командной консоли Exchange

  1. Сохраните группу ролей, которую необходимо копировать, в переменной с помощью следующей синтаксической конструкции:

  2. Создайте новую группу ролей с настраиваемой областью с помощью следующей синтаксической конструкции:

Например, следующие команды копируют группу ролей «Recipient Management» и создают новую группу ролей с именем «Toronto Recipient Management», которая позволяет управлять только пользователями в подразделении «Toronto Users».

Вы также можете добавить участников в группу ролей при ее создании с помощью параметра Members , как показано в разделе , описанной выше в этом разделе. Дополнительные сведения об областях управления см. в разделе Understanding Management Scopes.

После создания группы ролей в нее можно добавлять роли или удалять роли из нее, изменять область назначений ролей и т. д.

Дополнительные сведения о синтаксисе и параметрах см. в разделах Get-RoleGroup и New-RoleGroup.

Как проверить, все ли получилось?

Чтобы убедиться в успешном копировании группы ролей, выполните следующие действия.

  1. В EAC перейдите в раздел Разрешения>Администратор Роли.

  2. Убедитесь, что скопированная группа ролей отображается в списке групп ролей, и выберите ее.

  3. Убедитесь, что члены, назначенные роли и область, которые вы указали для скопированной группы ролей, перечислены в области сведений группы ролей.

Архитектура и основные векторы атак на MS Exchange

Основные компоненты сервера MS Exchange и связи между ними представлены на схеме ниже.

В зависимости от версии у MS Exchange могут быть следующие роли:

  • Сервер почтовых ящиков (Mailbox server).
  • Сервер клиентского доступа (Client Access) — фронтенд-сервис, который проксирует клиентские запросы на бэкенд-серверы.
  • Транспорт (Transport), который отвечает за управление почтовым потоком.
  • Единая система обмена сообщениями (Unified Messaging), которая позволяет использовать голосовые сообщения и другие возможности телефонии (роль недоступна на серверах версии 2019).
  • Управление (Management role), суть которого состоит в администрировании и гибкой настройке компонентов MS Exchange.

Табл. 1. Основные протоколы, используемые MS Exchange

Типы протоколов Название Описание
Протоколы клиентского доступа HTTP/HTTPS Протокол, который используется клиентами, в том числе мобильными, чтобы обращаться к компонентам Exchange для работы с почтой, календарями, адресной книгой и т. д.
MAPI Транспортный протокол для работы с почтой и другими компонентами, который используется клиентом Outlook для взаимодействия с сервером Exchange. Он имеет ряд преимуществ за счет инкапсуляции в HTTP
RPC over HTTP Альтернативный транспортный протокол, который используется клиентом Outlook и мобильными устройствами
Протоколы для пересылки и хранения почты SMTP Протокол передачи почты в сетях TCP/IP
IMAP4/POP3 Протоколы прикладного уровня для доступа к электронной почте
Протокол обмена данными со службой каталогов Active Directory LDAP Открытый протокол, который используется для хранения и извлечения данных из иерархической структуры каталогов

Основные компоненты Exchange и их краткое описание приведены ниже:

  • Outlook Web Access (OWA) — веб-интерфейс для предоставления доступа к почтовым ящикам и работы с ними (чтение/отправка/удаление почты, редактирование календаря и т. д.)
  • Exchange Control Panel (ECP) — веб-интерфейс для администрирования компонентов Exchange: управления почтовыми ящиками, создания различных политик для управления почтовым потоком, подключения новых почтовых серверов и т. д.
  • Autodiscover — служба, позволяющая клиентам получать информацию о расположении различных компонентов сервера Exchange, например URL для службы EWS. Для получения информации требуется предварительная аутентификация пользователя.
  • Exchange Web Services (EWS) — API для предоставления различным приложениям доступа к компонентам почтовых ящиков.
  • Exchange ActiveSync (EAS) — сервис, позволяющий пользователям мобильных устройств получать доступ к электронной почте, календарю, контактам, задачам и работать с этой информацией без подключения к интернету.
  • RPC — служба клиентского доступа через протокол RPC, который работает поверх HTTP.
  • Offline Address Book (OAB) — служба автономной адресной книги сервера Exchange, которая позволяет пользователям Outlook кешировать содержимое GAL (Global Address List) и обращаться к нему даже при отсутствии подключения к Exchange.

Все вышеописанные компоненты функционируют как приложения на веб-сервере Microsoft IIS.

Атакуя сервер MS Exchange, злоумышленники, как правило, преследуют следующие цели:

  • Получение доступа к конфиденциальной информации, содержащейся в корпоративной почте.
  • Запуск вредоносной рассылки с адресов компании-жертвы для проникновения в инфраструктуру другой организации.
  • Компрометация УЗ с помощью компонентов Exchange (успешная брутфорс-атака или обнаружение учетных данных в почтовой переписке) для входа в сеть компании через один из корпоративных сервисов.
  • Закрепление в сети компании (например, с помощью веб-шелла на сервисе OWA).
  • Повышение привилегий в домене с помощью сервера Exchange.
  • Выведение из строя сервера Exchange для нарушения внутренних бизнес-процессов компании (например, полное шифрование данных сервера).
Рейтинг
( Пока оценок нет )
Editor
Editor/ автор статьи

Давно интересуюсь темой. Мне нравится писать о том, в чём разбираюсь.

Понравилась статья? Поделиться с друзьями:
Работатека
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: