Exchange Server 2010: strumenti per l'amministrazione e la gestione Corrado Mollica Pulsar IT System Engineer sip/im/email: [email protected] L’eccellenza sulle tecnologie Microsoft Pulsar IT è stata tra le prime società in Italia a certificarsi sulle infrastrutture di rete Microsoft (1995) e sulle soluzioni in area Server Pulsar IT è specializzata sulle soluzioni per la comunicazione, la collaborazione e la sicurezza Le persone di Pulsar IT sono Speaker tecnici in conferenze ed eventi Microsoft da oltre 15 anni Pulsar IT è Microsoft Voice-Ready Partner specializzato nell’integrazione delle tecnologie Microsoft Unified Communications con i sistemi VoIP e legacy PBX Agenda Gestire Exchange 2010 Cosa c’è di nuovo Piattaforme supportate Coesistenza Role Based Access Control Cos’è Come funziona I tool a disposizione Exchange Management Console Exchange Management Shell Exchange Control Panel In Sintesi Risorse GESTIRE EXCHANGE 2010 Cosa c’è di nuovo Obiettivi principali dei cambiamenti sono il semplificare la gestione di Exchange e facilitare la delega delle operazioni più comuni Possibilità per l’utente di «tracciare» in autonomia i propri messaggi Possibilità di consentire al responsabile HR la modifica di informazioni relative ai dipendenti in AD direttamente da «OWA» Possibilità per l’utente di gestirsi eventuali Distribution List autonomamente The annual cost of helpdesk support staff for e-mail systems with 7,500 mailboxes is approximately $20/mailbox. This cost goes up in the smaller the organization. (“Email Support Staff Requirements and Costs: A Survey of 136 Organizations”, Ferris Research, June 2008). Cosa c’è di nuovo Role Based Access Control (RBAC) Nuovo modello di autorizzazione Facile da customizzare e delegare Usato da tutti i tool di gestione (EMC, EMS, ECP) Exchange Management Console Nuove funzionalità Es: Gestione di più «Organizzazioni», Bulk Editing, PowerShell Command Logging & Preview Exchange Management Shell Posso gestire server remoti grazie a Powershell v2.0 Qualunque console EMS è «remota» Non ho bisogno di avere i tool installati localmente Exchange Control Panel (ECP) Nuovo tool di gestione Web-Based Adatto a utenti normali e specialisti (Es. Responsabile HR) Piattaforme supportate Exchange 2010 è solo 64bit Anche i tool di gestione!!!! Posso installare localmente i tool sui seguenti OS Vista x64 SP2 Windows 7 x64 Windows Server 2008 x64 SP2 Windows Server 2008 R2 Se uso la gestione remota Non devo installare i tool localmente Posso avere qualunque OS Vista (x86 o x64) W2K8 (x86 o x64) W2K3 (x86 o x64) XP (x86 o x64) W2K8R2 o W7 (x86 o x64) Coesistenza Se ho un ambiente misto E2007/E2010 posso avere un’unica postazione di gestione ed installare sia i tool di E2010 che quelli di E2007 sulla stessa macchina Vale SOLO per i tool di gestione non posso installare altri ruoli!! Il risultato potrebbe essere questo: ROLE BASED ACCESS CONTROL Cos’è E’ il nuovo modello di permessi di Exchange 2010 Non devo più modificare le ACL per assegnare permessi particolari agli utenti «Quello che posso fare» definisce che «ruolo» ho E’ molto granulare Posso limitare le azioni che un utente è in grado di fare o addirittura quali parametri può modificare Comprende anche la gestione del proprio account/profilo Viene usato da tutti i tool di gestione di E2010 EMC EMS ECP Come funziona Come funziona Definiamo prima dove assegnare i permessi Una OU? Un gruppo? L’intera organizzazione? Tutti i ruoli di default hanno un ambito Get-ManagementRole | fl *scope* Sono importanti gli ambiti impliciti di scrittura Ogni ruolo custom ha un «padre» Se non definisco un ambito, eredita quello del padre Quando definisco il ruolo posso definire contestualmente l’ambito Se voglio riutilizzare l’ambito anche per altri ruoli, mi conviene definirlo esplicitamente New-ManagementScope –Name «Company Users» -RecipientRoot «demo.local/Root/Users» Come funziona Definiamo poi cosa vogliamo consentire Esistono 65 ruoli di default Posso creare ruoli custom New-ManagementRole -Name “HelpDesk" -Parent "Mail Recipients" Ogni ruolo ha un «padre» (Default o Custom) Un «figlio» NON può avere più permessi del padre E’ buona norma avere un «get-*» per ogni «set-*» etc. Posso vedere cosa può fare un ruolo così Get-ManagementRoleEntry «HelpDesk\*» Posso «svuotare» un ruolo Get-ManagementRoleEntry “HelpDesk\*" | Where {$_.name -ne "Get-User"} | Remove-ManagementRoleEntry Posso decidere che un ruolo può modificare solo determinati parametri Add-ManagementRoleEntry “HelpDesk\Set-User" -Parameters Office,Phone,Mobilephone,Department,Manager,Identity Come funziona Definiamo infine chi può fare cosa, dove Esistono gruppi di default Get-RoleGroup Possiamo assegnare i permessi a utenti o a gruppi Possiamo usare gruppi già esistenti (USG) o creare dei gruppi ad-hoc New-RoleGroup “HelpDesk Users" -Roles “HelpDesk" CustomRecipientWriteScope “Company Users“ Quando creo un “role group” devo specificare almeno un “ruolo” mentre posso decidere se specificare anche l’ambito. Se non lo faccio l’ambito sarà quello del ruolo Come funziona Definire un «role group», crea la «colla» che lega tutti gli elementi visti finora: Where,What,Who Get-ManagementRoleAssignment Di default esistono 160 role assignment Ogni RoleAssignment è la mappatura univoca di un ruolo ad un ambito ad un gruppo Ogni volta che assegno un ruolo ad un gruppo, viene creato un «RoleAssignment» Questo fa si che RBAC non si comporti come le permissions NTFS, dove vince la + restrittiva, ma assegna all’utente la somma dei permessi assegnati ai ruoli dei quali fa parte l’utente stesso Come funziona Scope – L’ambito definisce gli oggetti in AD sui quali può operare il ruolo. E’ il “DOVE” del triangolo. Il noun powershell associato è “ManagementScope” Role – Il ruolo è la collezione di oggetti che definiscono le cmdlets e I parametri che possono essere eseguiti/modificati. E’ il “COSA” del triangolo. Il noun powershell associato è “ManagementRole” Role Entry – E’ la singola cmdlet con relativi parametri presente nel ruolo. Questo è quello che si modifica quando vengono creati ruoli custom. Il noun powershell associato è “ManagementRoleEntry” Role Group – Il gruppo di ruolo è un USG che definisce chi appartiene ad un ruolo specifico o ad un ambito. E’ il “CHI” del triangolo. Il noun powershell associato è “RoleGroup” Role Assignment – L’assegnazione di ruolo è la colla che unisce il CHI, il COSA e il DOVE. E’ un oggetto AD che definisce CHI può fare COSA e DOVE. Il noun powershell associato è “ManagementRoleAssignment” { Role Based Access Control (RBAC) } I TOOL A DISPOSIZIONE Exchange Management Console Si basa, come la versione precedente, su Powershell Traduce in cmdlet le modifiche fatte dall’utente tramite la GUI Sfrutta il nuovo modello di autorizzazioni (RBAC) Supporta nuove features Configurazione della parte HA Exchange Management Console Bulk Edit dei recipients Exchange Management Console Powershell Command Preview & Logging Exchange Management Console Supporto multi-organizzazione di Exchange 2010 Exchange Management Console «Move-Mailbox» tra Organizzazioni { Exchange Management Console (EMC) } Exchange Management Shell Essendo basata su Powershell v 2.0 introduce il «remoting» In realtà TUTTE le EMS in E2010 sono remote L’unica eccezione la si ha sul ruolo EDGE Questo consente la gestione di più organizzazioni e facilita la configurazione dei firewall (usa la porta 80) Si appoggia a RBAC e quindi filtra le cmdlet e i parametri modificabili a seconda dell’utente che lancia la shell Consente la gestione da client dove NON sono stati installati i tool di gestione Exchange Management Shell >$rs = New-PSSession –ConnectionURI http://srv4.demo.local/PowerShell/ > Import-PSSession $rs [srv4] > New-Mailbox –Name Bob [Bob Mailbox Object in Pipeline] IIS Evan PSv2 Client Runspace PSv2 RBAC Server Runspace WSMan + RBAC stack: Authorization Evan: Role Assignment New-Mailbox -Name Get-Mailbox Set-Mailbox -Name Active Directory IIS: Cmdlets Available in Runspace: New-PSSession Remote Cmdlets Available in Runspace: New-Mailbox -Name Get-Mailbox Set-Mailbox -Name Authentication Cmdlets Available in Runspace: New-Mailbox -Name Get-Mailbox Set-Mailbox -Name Exchange Server Exchange Management Shell Alcuni comandi utili Enable-PSRemoting – Configura il sistema per accettare connessioni remote (già presente di default) Set-user DEMO\Corrado –RemotePowershellEnabled $true – Abilita un utente alla connessione remota tramite PS $rs = New-PSSession –ConnectionURI http://srv4.demo.local/powershell ConfigurationName Microsoft.Exchange – creo la sessione remota Import-PSSession $rs – mi collego alla sessione remota { Exchange Management Shell (EMS) } Exchange Control Panel Exchange Control Panel è un tool di gestione web adatto a utenti, amministratori e responsabili Amministratori – possono gestire alcuni elementi dell’organizzazione tramite un browser Utenti – possono gestire le configurazioni e le impostazioni relative al loro account di posta Responsabili – possono usarlo per gestire alcuni elementi dell’organizzazione Exchange per i quali hanno ricevuto la delega E’ una virtualdir di IIS presente sui CAS E’ accessibile da OWA, da Outlook o puntando direttamente all’url https://servercasfqdn/ecp Come tutti i tool di gestione è «RBAC Aware» Exchange Control Panel Questa è l’architettura dietro al ECP Supporta i browser supportati da OWA premium IE Safari Firefox Supporta gli stessi tipi di autenticazione di OWA Form Based Basic Windows Integrated Condivide del codice con OWA ma sono due applicazioni DIVERSE Client Access Server Exchange Control Panel In base ai permessi vedo o non vedo bottoni Posso o non posso modificare parametri { Exchange Control Panel (ECP) } IN SINTESI In sintesi I tool di gestione di Exchange 2010 hanno come obiettivo la semplificazione dell’amministrazione dell’infrastruttura Exchange di un’azienda RBAC consente agli amministratori di delegare con più semplicità la gestione di alcuni aspetti del sistema La nuova Management Console incorpora nuove funzionalità per facilitare la gestione di Exchange Powershell Command Logging, Bulk Editing…. Exchange Management Shell, grazie all’utilizzo di PS v2.0, consente la gestione di Exchange anche da macchine remote o che non hanno I tool installati Exchange Control Panel è uno strumento web, quindi di facile accesso, utile per gestire alcune features di Exchange RISORSE Risorse Exchange TechCenter http://technet.microsoft.com/en-us/exchange/default.aspx Exchange Team Blog http://msexchangeteam.com Microsoft BE IT http://www.microsoft.com/italy/beit/ © 2009 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.