Sous Exchange Server 2010, la délégation d’administration a été entièrement revue et repose maintenant sur le principe de RBAC pour Role Based Access Control. Avec RBAC vous n’avez plus besoin de modifier et d’administrer les listes de contrôle d’accès (ACL) comme c’était le cas sous Exchange 2007 et avant, en échange l’approche peut sembler un peu complexe. L’objectif de ce poste est donc de présenter ce nouveau modèle et ce que l’équipe produit appel le triangle du pouvoir !

Ce fameux tringle est composé de trois éléments formant la délégation à savoir le périmètre d’application, le rôle (ou les permissions) et bien sûr les membres. Pour ceux qui connaissent le produit ActiveRoles Direct de Quest Software il s’agit exactement du même principe. Voici le détail :

Comme son nom l’indique, il s’agît du périmètre de l’assignation, c’est-à-dire une OU, un groupe d’utilisateurs ou tout simplement un container de configuration. Par défaut tous les rôles ont forcément un périmètre d’application. Lorsque vous créez un nouveau role RBAC il est forcément un enfant d’un rôle déjà existant et hérite donc du périmètre de son parent. Cependant il possible de spécifier un périmètre spécifique lors de sa création ou de le modifier par la suite.

Maintenant que vous savez où appliquer votre rôle, il faut encore définir ce qu’il va pouvoir faire. Par défaut, Exchange 2010 possède 65 rôles prédéfinis. Le but est de couvrir le maximum de scénarios pensés par l’équipe produit suite aux retours des clients. Vous pouvez créer des rôles personnalisés enfants de rôle existant mais forcément ayant moins de droits. L’attribution des droits se fait par sélection des cmdlets PowerShell que le rôle pourra exécuter au final.

Maintenant que l’on sait le périmètre de notre rôle, les actions qu’il peut réaliser, il ne reste plus qu’à définir les membres de ce rôle qui pourront en profiter. Vous pouvez assigner le rôle aussi bien à un utilisateur unique qu’à un groupe entier. Bien évidemment, il est toujours recommandé d’utiliser les groupes dans l’administration.

Chaque élément étant un objet dans l’Active Directory, le tout forme également un nouvel objet « ManagementRoleAssignment » défini par le principe RBAC. Pour rappel, gardez en tête ce fameux triangle du pouvoir afin de visionner les différents composants pour vous y retrouver.