Strict split permissions exchange split permission

Exchange Server 2010 Sp1 ile hayatımıza giren yeni bir kavramdır. Exchange Server SP1 li bir kurulum sırasında aşağıdaki gibi bir kutucuk çıkmaktadır

 

 

Bu kutucuğun amacı büyük organizasyonlarda Active Directory yönetici ekipleri ile Exchange Server yönetici ekiplerinin birbirinden ayrı olması nedeni ile varsayılan olarak Exchange gruplarının üyelerinin AD üzerinde sınırlı bir yetkiye sahip olmasını sağlar.

Bir örnek ile durumu açıklamak gerekirse. Dünya genelinde hizmet veren bir firmada AD takım liderisiniz ve tüm AD alt yapısı sizin sorumluluğunuzda. Benzer şekilde sizden ayrı bir mesajlaşma takımı var ki onlarda Exchange Server’ a bakıyor. Eğer siz bu kurulumları varsayılan olarak yaparsanız örneğin “recipient administrators” grup üyelerinin kullanıcı açma ve silme gibi pek çok yetkili hakka sahip oluyor. Oysaki siz AD takımı olarak AD mimarisindeki değişikliklerin sadece sizin tarafınızdan gerçekleştirilmesini istiyorsunuz. İşte split permissions bu durumda çok işe yarar bir çözümdür.

Eüer bu seçeneği seçmezseniz bu durumda Exchange Server varsayılan olarak Exchange permissions (the RBAC model) olarak tanımlanan şekilde kurulur ki RBAC konusunda ÇözümPark Bilişim Portalı üzerindeki makaleler ile daha fazla bilgiye ulaşmanız mümkün.

Konuya biraz daha derin bakmak gerekirse, bildiğiniz gibi AD veri tabanı ( database ) temelde 3 bölümden ( partition ) oluşmaktadır. Bunlardan “Domain” bölümünde kullanıcı, bilgisayar ve gruplar gibi domain objeleri saklanırken “Configuration” bölümünde ise servislere ait olan konfigler yer almaktadır ( örneğin exchange server configleri ). Durum böyle olunca siz Split permission ile aslında Domain bölümü içerisinin yönetimini AD yönetici gruplarına, configuration bölümünün yönetimini ise o bölümde configurasyon tutan servislerin yöneticilerine örneğin o bölümde config tutan exchange server için yönetimini AD yönetim grupları değil Exchange yönetim gruplarına devretmiş oluyorsunuz. Özetle AD yöneticileri kendi işini, Exchange yöneticileri kendi işini yapmakta ve birbirlerinin alanına girememektedir.

Olurda split permission olarak kurulum yapmış ancak sonrasında shared permission’ a geri dönmek isterseniz aşağıdaki 3 adımı takip edebilirsiniz

 

setup.com /PrepareAD /ActiveDirectorySplitPermissions:false

New-ManagementRoleAssignment “Mail Recipient Creation_Organization Management” -Role “Mail Recipient Creation” -SecurityGroup “Organization Management”
New-ManagementRoleAssignment “Security Group Creation and Membership_Org Management” -Role “Security Group Creation and Membership” -SecurityGroup “Organization Management”
New-ManagementRoleAssignment “Mail Recipient Creation_Recipient Management” -Role “Mail Recipient Creation” -SecurityGroup “Recipient Management”

son olarak sunucuyu yeniden başlatın.

Kaynak

https://technet.microsoft.com/en-us/library/dd638146.aspx