Novedades de Exchange 2010: RBAC

  • Article

Qué? RBAC? Qué <#@!!-?!%> es eso??? Aunque ahora mismo nos suene a chino RBAC es una de las grandes novedades de Exchange 2010, Role Based Access Control

Primero vamos a centrar un poco el tema. RBAC es el nuevo modelo de permisos de administración de Exchange 2010. En versiones anteriores con el fin de facilitar la administración se introdujeron distintos roles basados en opciones de seguridad para ejecutar ciertas tareas. Estos roles se aplicaban a nivel de la organización o a nivel de los grupos administrativos. Con Exchange 2007 se ampliaron pero aún así no guradaban relación con la estructura de la compañía, es decir, en muchas ocasiones los administradores que crean cuentas de usuarios no son las mismas personas que administran los buzones. Para intentar corregir esas carencias y dar mayores posibilidades llega RBAC. Esto es lo que podremos hacer con RBAC:

  • Roles de administración basados en tareas
  • Roles personalizables
  • Podemos definir el ámbito de un determinado role para limitarlo a objetos específcos.
  • RBAC está controlado a nivel de la organización, independientemente de la forma que estemos intentando acceder
  • También llega al detalle de las tareas que puede ejecutar, incluso de los parámetros de dichas tareas!
  • Finalmente comentar que puede auditarse y crear reportes de forma que sabremos quién ha accedido a un objeto y qué acciones ha realizado

RBAC intenta ayudar a los administradores a specificar el control de acceso en términos de la estructura interna de la compañía y lo consigue creando un nuevo objecto llamado ROLE. Lo que hacemos es asignar roles a los usuaios (no son sólo usuarios pero teniendo esa imagen es más fácil de entender) para que pueda ejecutar una determinada tarea. Es decir, el role se utiliza para definir los permisos sobre un determinado conjunto de recursos. Utiliza un modelo de quién (usuario), qué (role administrativo) y dónde (el ámbio sobre el que tendremos permisos). Está compuesto por:

  • Management Role : Define los comandos de Exchange disponibles que se podrán ejecutar
  • Management Role Assignment: Es la relación entre el Management Role definido y el usuario, grupo universal (USG) sobre el que se aplica el Role o Assignment Policy que define sobre quén tendrá efecto el role.
  • Role Group: Es un grupo de seguridad universal que simplifica la assignación de roles a grupos de usuarios.
  • Role Assignment Policy: Se utiliza para facilitar la asignación de roles a usuarios finales.
  • Management Scope :Utilizado para definir dónde tendremos control

En el siguiente enlace podéis encontrar todos los detalles:

Understanding Role Based Access Control https://technet.microsoft.com/en-us/library/dd298183(EXCHG.140).aspx

Espero que haya quedado un poco más claro :)

Saludos,

Pablo