Role-Based Access Control (RBAC): Il nuovo modo per gestire Exchange (Parte 4) – I Management Role Scope
Benvenuti alla parte 4 dei miei post su RBAC :-)
Oggi, come promesso nel precedente post, parliamo dei Management Role Scope.
I Management Role Scope definiscono quali oggetti possono essere acceduti dall’assegnatario di uno specifico Management Role.
Ogni Ruolo ha 4 Scope differenti:
- Il RecipientReadScope
- Il RecipientWriteScope
- Il ConfigurationReadScope
- Il ConfiguratioWriteScope
Che cosa indicano ?
Il RecipientReadScope indica quali oggetti di tipo recipient possono essere letti nel Domain Container di AD dall’assegnatario del ruolo a cui lo scope è associato
Il RecipientWriteScope indica quali oggetti di tipo recipient possono essere modificati nel Domain Container di AD dall’assegnatario del ruolo a cui lo scope è associato
Il ConfigurationReadScope indica quali oggetti di tipo Configuration possono essere letti nel Configuration Container di AD dall’assegnatario del ruolo a cui lo scope è associato
Il ConfigurationWriteScope indica quali oggetti di tipo Configuration possono essere modificati nel Configuration Container di AD dall’assegnatario del ruolo a cui lo scope è associato
Importante: I Write Scope non possono mai essere più grandi dei Read Scope. Se ci pensate è anche naturale. Se non posso leggere un oggetto come faccio a modifcarlo ?
Management Role Scope possono essere:
- Impliciti
- Espliciti
Scope Impliciti
Gli Scope Impliciti sono quelli applicati di default a un determinato ruolo. Di solito i Management Role Scope Impliciti sono ereditati dal ruolo padre (leggete la parte 3 per maggiori dettagli)
Alcuni esempi di Scope Impliciti sono:
- Organization (L’intera Organizzazione Exchange)
- Self (solo sè stessi)
- etc…
Potete trovare la lista completa nel documento Understanding Management Role Scopes del Technet.
Scope Espliciti
Gli Scope Espliciti sono quelli che impostate voi stessi e servono per bypassare i Write Scope Impliciti. E’ importante ricordare che questo vale solo per i Write Scope. Non è possibile bypassare un Read Scope. Se volete vedere tutta l’Organizzazione dovete usare come Ruolo-Padre uno che abbia il Read Scope “Organization” per i fatti suoi.
Gli Scope Espliciti si suddividono in due categorie aggiuntive:
- Normali (Regular)
- Esclusivi (Exclusive)
I Normali stabiliscono gli insiemi di oggetti che possono essere visti/modificati dagli utenti a cui è associato un ruolo (ad esempio: tutti gli oggetti nella Organizational Unit “Milano”)
Gli Esclusivi, al contrario, sono utilizzati per negare l’accesso a determinati oggetti. Se un gruppo di oggetti si trova all’interno di uno Scope Esclusivo essi saranno visibili/modifcabili solo dagli utenti a cui è associato quello Scope. Se uno scope Normali e uno Esclusivo si sovrappongono solo gli utenti a cui è associato lo Scope Esclusivo potranno accedere agli oggetti. Se due Scope Esclusivi si sovrappongono un utente potrà accedere solo agli oggetti presenti nello Scope che gli è associato. Un esempio di utilizzo dello Scope Esclusivo è il seguente:
L’Helpdesk deve poter gestire tutti gli utenti della vostra Organizzazione eccetto i Manager che saranno gestiti dagli amministratori di rete.
Al ruolo Helpdesk lascio uno Scope a livello “Organization” poi ne creo uno di tipo Esclusivo che include solo i Manager e che assocerò al gruppo degli amministratori di rete
Alla prossima
Ciao
Gabriele