Exchange Server 2010: strumenti per
l'amministrazione e la gestione
Corrado Mollica
Pulsar IT System Engineer
sip/im/email: [email protected]
L’eccellenza sulle tecnologie Microsoft
Pulsar IT è stata tra le prime società in Italia a certificarsi
sulle infrastrutture di rete Microsoft (1995) e sulle
soluzioni in area Server
Pulsar IT è specializzata sulle soluzioni per la
comunicazione, la collaborazione e la sicurezza
Le persone di Pulsar IT sono Speaker tecnici in
conferenze ed eventi Microsoft da oltre 15 anni
Pulsar IT è Microsoft Voice-Ready Partner specializzato
nell’integrazione delle tecnologie Microsoft Unified
Communications con i sistemi VoIP e legacy PBX
Agenda
Gestire Exchange 2010
Cosa c’è di nuovo
Piattaforme supportate
Coesistenza
Role Based Access Control
Cos’è
Come funziona
I tool a disposizione
Exchange Management Console
Exchange Management Shell
Exchange Control Panel
In Sintesi
Risorse
GESTIRE EXCHANGE 2010
Cosa c’è di nuovo
Obiettivi principali dei cambiamenti sono il semplificare
la gestione di Exchange e facilitare la delega delle
operazioni più comuni
Possibilità per l’utente di «tracciare» in autonomia i propri
messaggi
Possibilità di consentire al responsabile HR la modifica di
informazioni relative ai dipendenti in AD direttamente da
«OWA»
Possibilità per l’utente di gestirsi eventuali Distribution List
autonomamente
The annual cost of helpdesk support staff for e-mail systems with 7,500 mailboxes
is approximately $20/mailbox. This cost goes up in the smaller the organization.
(“Email Support Staff Requirements and Costs: A Survey of 136 Organizations”, Ferris Research, June 2008).
Cosa c’è di nuovo
Role Based Access Control (RBAC)
Nuovo modello di autorizzazione
Facile da customizzare e delegare
Usato da tutti i tool di gestione (EMC, EMS, ECP)
Exchange Management Console
Nuove funzionalità
Es: Gestione di più «Organizzazioni», Bulk Editing, PowerShell
Command Logging & Preview
Exchange Management Shell
Posso gestire server remoti grazie a Powershell v2.0
Qualunque console EMS è «remota»
Non ho bisogno di avere i tool installati localmente
Exchange Control Panel (ECP)
Nuovo tool di gestione Web-Based
Adatto a utenti normali e specialisti (Es. Responsabile HR)
Piattaforme supportate
Exchange 2010 è solo 64bit
Anche i tool di gestione!!!!
Posso installare localmente i tool sui seguenti OS
Vista x64 SP2
Windows 7 x64
Windows Server 2008 x64 SP2
Windows Server 2008 R2
Se uso la gestione remota
Non devo installare i tool localmente
Posso avere qualunque OS
Vista (x86 o x64)
W2K8 (x86 o x64)
W2K3 (x86 o x64)
XP (x86 o x64)
W2K8R2 o W7 (x86 o x64)
Coesistenza
Se ho un ambiente misto E2007/E2010 posso avere
un’unica postazione di gestione ed installare sia i tool di
E2010 che quelli di E2007 sulla stessa macchina
Vale SOLO per i tool di gestione  non posso installare altri
ruoli!!
Il risultato potrebbe essere questo:
ROLE BASED ACCESS CONTROL
Cos’è
E’ il nuovo modello di permessi di Exchange 2010
Non devo più modificare le ACL per assegnare permessi
particolari agli utenti
«Quello che posso fare» definisce che «ruolo» ho
E’ molto granulare
Posso limitare le azioni che un utente è in grado di fare o
addirittura quali parametri può modificare
Comprende anche la gestione del proprio
account/profilo
Viene usato da tutti i tool di gestione di E2010
EMC
EMS
ECP
Come funziona
Come funziona
Definiamo prima dove assegnare i permessi
Una OU?
Un gruppo?
L’intera organizzazione?
Tutti i ruoli di default hanno un ambito
Get-ManagementRole | fl *scope*
Sono importanti gli ambiti impliciti di scrittura
Ogni ruolo custom ha un «padre»
Se non definisco un ambito, eredita quello del padre
Quando definisco il ruolo posso definire
contestualmente l’ambito
Se voglio riutilizzare l’ambito anche per altri ruoli, mi
conviene definirlo esplicitamente
New-ManagementScope –Name «Company Users» -RecipientRoot
«demo.local/Root/Users»
Come funziona
Definiamo poi cosa vogliamo consentire
Esistono 65 ruoli di default
Posso creare ruoli custom
New-ManagementRole -Name “HelpDesk" -Parent "Mail Recipients"
Ogni ruolo ha un «padre» (Default o Custom)
Un «figlio» NON può avere più permessi del padre
E’ buona norma avere un «get-*» per ogni «set-*» etc.
Posso vedere cosa può fare un ruolo così
Get-ManagementRoleEntry «HelpDesk\*»
Posso «svuotare» un ruolo
Get-ManagementRoleEntry “HelpDesk\*" | Where {$_.name -ne
"Get-User"} | Remove-ManagementRoleEntry
Posso decidere che un ruolo può modificare solo
determinati parametri
Add-ManagementRoleEntry “HelpDesk\Set-User" -Parameters
Office,Phone,Mobilephone,Department,Manager,Identity
Come funziona
Definiamo infine chi può fare cosa, dove
Esistono gruppi di default
Get-RoleGroup
Possiamo assegnare i permessi a utenti o a gruppi
Possiamo usare gruppi già esistenti (USG) o creare
dei gruppi ad-hoc
New-RoleGroup “HelpDesk Users" -Roles “HelpDesk" CustomRecipientWriteScope “Company Users“
Quando creo un “role group” devo specificare almeno un
“ruolo” mentre posso decidere se specificare anche
l’ambito. Se non lo faccio l’ambito sarà quello del ruolo
Come funziona
Definire un «role group», crea la «colla» che lega
tutti gli elementi visti finora: Where,What,Who
Get-ManagementRoleAssignment
Di default esistono 160 role assignment
Ogni RoleAssignment è la mappatura univoca di un
ruolo ad un ambito ad un gruppo
Ogni volta che assegno un ruolo ad un gruppo, viene
creato un «RoleAssignment»
Questo fa si che RBAC non si comporti come le
permissions NTFS, dove vince la + restrittiva, ma
assegna all’utente la somma dei permessi assegnati
ai ruoli dei quali fa parte l’utente stesso
Come funziona
Scope – L’ambito definisce gli oggetti in AD sui quali può
operare il ruolo. E’ il “DOVE” del triangolo. Il noun
powershell associato è “ManagementScope”
Role – Il ruolo è la collezione di oggetti che definiscono le
cmdlets e I parametri che possono essere
eseguiti/modificati. E’ il “COSA” del triangolo. Il noun
powershell associato è “ManagementRole”
Role Entry – E’ la singola cmdlet con relativi parametri
presente nel ruolo. Questo è quello che si modifica
quando vengono creati ruoli custom. Il noun powershell
associato è “ManagementRoleEntry”
Role Group – Il gruppo di ruolo è un USG che definisce
chi appartiene ad un ruolo specifico o ad un ambito. E’ il
“CHI” del triangolo. Il noun powershell associato è
“RoleGroup”
Role Assignment – L’assegnazione di ruolo è la colla che
unisce il CHI, il COSA e il DOVE. E’ un oggetto AD che
definisce CHI può fare COSA e DOVE. Il noun powershell
associato è “ManagementRoleAssignment”
{
Role Based Access Control (RBAC)
}
I TOOL A DISPOSIZIONE
Exchange Management Console
Si basa, come la versione precedente, su Powershell
Traduce in cmdlet le modifiche fatte dall’utente tramite
la GUI
Sfrutta il nuovo modello di autorizzazioni (RBAC)
Supporta nuove features
Configurazione della parte HA
Exchange Management Console
Bulk Edit dei recipients
Exchange Management Console
Powershell Command Preview & Logging
Exchange Management Console
Supporto multi-organizzazione di Exchange 2010
Exchange Management Console
«Move-Mailbox» tra Organizzazioni
{
Exchange Management Console (EMC)
}
Exchange Management Shell
Essendo basata su Powershell v 2.0 introduce il
«remoting»
In realtà TUTTE le EMS in E2010 sono remote
L’unica eccezione la si ha sul ruolo EDGE
Questo consente la gestione di più organizzazioni e
facilita la configurazione dei firewall (usa la porta 80)
Si appoggia a RBAC e quindi filtra le cmdlet e i parametri
modificabili a seconda dell’utente che lancia la shell
Consente la gestione da client dove NON sono stati
installati i tool di gestione
Exchange Management Shell
>$rs = New-PSSession –ConnectionURI http://srv4.demo.local/PowerShell/
> Import-PSSession $rs
[srv4] > New-Mailbox –Name Bob
[Bob Mailbox Object in Pipeline] IIS
Evan
PSv2 Client
Runspace
PSv2 RBAC
Server Runspace
WSMan +
RBAC stack:
Authorization
Evan: Role Assignment
New-Mailbox -Name
Get-Mailbox
Set-Mailbox -Name
Active Directory
IIS:
Cmdlets Available in Runspace:
New-PSSession
Remote Cmdlets Available in Runspace:
New-Mailbox -Name
Get-Mailbox
Set-Mailbox -Name
Authentication
Cmdlets Available in Runspace:
New-Mailbox -Name
Get-Mailbox
Set-Mailbox -Name
Exchange
Server
Exchange Management Shell
Alcuni comandi utili
Enable-PSRemoting – Configura il sistema per accettare connessioni remote
(già presente di default)
Set-user DEMO\Corrado –RemotePowershellEnabled $true – Abilita un utente
alla connessione remota tramite PS
$rs = New-PSSession –ConnectionURI http://srv4.demo.local/powershell ConfigurationName Microsoft.Exchange – creo la sessione remota
Import-PSSession $rs – mi collego alla sessione remota
{
Exchange Management Shell (EMS)
}
Exchange Control Panel
Exchange Control Panel è un tool di gestione web adatto
a utenti, amministratori e responsabili
Amministratori – possono gestire alcuni elementi
dell’organizzazione tramite un browser
Utenti – possono gestire le configurazioni e le impostazioni
relative al loro account di posta
Responsabili – possono usarlo per gestire alcuni elementi
dell’organizzazione Exchange per i quali hanno ricevuto la
delega
E’ una virtualdir di IIS presente sui CAS
E’ accessibile da OWA, da Outlook o puntando
direttamente all’url
https://servercasfqdn/ecp
Come tutti i tool di gestione è «RBAC Aware»
Exchange Control Panel
Questa è l’architettura dietro al ECP
Supporta i browser supportati da
OWA premium
IE
Safari
Firefox
Supporta gli stessi tipi di
autenticazione di OWA
Form Based
Basic
Windows Integrated
Condivide del codice con OWA ma
sono due applicazioni DIVERSE
Client Access Server
Exchange Control Panel
In base ai permessi vedo o non vedo bottoni
Posso o non posso modificare parametri
{
Exchange Control Panel (ECP)
}
IN SINTESI
In sintesi
I tool di gestione di Exchange 2010 hanno come
obiettivo la semplificazione dell’amministrazione
dell’infrastruttura Exchange di un’azienda
RBAC consente agli amministratori di delegare con più
semplicità la gestione di alcuni aspetti del sistema
La nuova Management Console incorpora nuove
funzionalità per facilitare la gestione di Exchange
Powershell Command Logging, Bulk Editing….
Exchange Management Shell, grazie all’utilizzo di PS
v2.0, consente la gestione di Exchange anche da
macchine remote o che non hanno I tool installati
Exchange Control Panel è uno strumento web, quindi di
facile accesso, utile per gestire alcune features di
Exchange
RISORSE
Risorse
Exchange TechCenter
http://technet.microsoft.com/en-us/exchange/default.aspx
Exchange Team Blog
http://msexchangeteam.com
Microsoft BE IT
http://www.microsoft.com/italy/beit/
© 2009 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only.
MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.