Exchange 2010 ile gelen Get-MailboxAutoReplyConfiguration ve Set-MailboxAutoReplyConfiguration komutları ile kullanıcılarınızın Out-of-Office ayarlarını Exchange Management Shell üzerinden görebilir veya değiştirebilirsiniz.

Set-MailboxAutoReplyConfiguration -Identity Serkan -ExternalAudience All -ExternalMessage “Sayısal’ı tutturdum uzun bir süre cevap veremeyebilirim : )” -InternalMessage “Sayısal’ı tutturdum acil işler için diğer adminleri arayın.” -AutoReplyState Enabled

 

Belirli bir zaman aralığı için Out of Office’i ayarlamak istiyorsanız o zaman AutoReplyState Scheduled yapıp zaman aralığı verebilirsiniz.

OWA üzerinde:

LinkedIn for Outlook‘tan sonra Microsoft Outlook Team Outlook Social Connector için MySpace sağlayıcısını yayınlandı. MySpace for Outlook’u buradan indirebilirsiniz.  

Eğer Outlook 2010 Beta kullanıyorsanız ve Outlook Social Connector’un yeni versiyonunu yüklemediyseniz öncelikle 2010 Beta ile gelen Outlook Social Connector’ü kaldırmanız gerekiyor. Eski versiyonu kaldırmak için gerekli adımları buradan öğrenebilirsiniz.

Sırada Facebook var. Outlook 2010 satışa çıkmadan önce bu sağlayıcı da yayınlanacak.

Exchange 2010 Internet Explorer dışında üç farklı Web tarayıcısı için zengin bir Web tabanlı arayüz sunuyor.

Windows XP, Windows 2003, Windows Vista, veya Windows 7 işletim sistemlerini kullananlar için:

• Internet Explorer 7 ve üstü versiyonlar.
• Firefox 3.0.1 ve üstü versiyonlar.
• Chrome 3.0.195.27 ve üstü versiyonlar.

Mac OS X işletim sistemlerini kullananlar için:

• Safari 3.1 ve üstü versiyonlar.
• Firefox 3.0.1 ve üstü versiyonlar.

Linux işletim sistemlerini kullananlar için:

• Firefox 3.0.1 ve üstü versiyonlar.

Desteklemeyen web tarayıcılarında Outlook Web App light versiyonu açılacaktır.

Role Based Access Control konusunda Management Role Groups’a 2.Bölüm’de bakmıştık. Şimdi ise kullanıcılarımıza kendi mailboxları üzerinde ne tür bir yetkilendirme yapabiliriz ona bakalım. Management Role Assignment Policies sayesinde kullanıcılarımızın neler yapabileceğini belirleyebiliyoruz.

Exchange 2010′da her mailbox’ı bulunan kullanıcıya varsayılan olarak Default Role Assignment Policy atanır.

Get-mailbox “ozan onder” | fl name,roleassignmentpolicy

 

Default Role Assignment Policy içerisinde bulunan varsayılan rollere de bir bakalım.

Get-ManagementRoleAssignment | ? {$_.Roleassigneename -ilike “Default Role Assignment*”} |  ft Roleassignee,role

 

Default Management Role Assignment Policy’e verilmiş olan 5 tane Role var bu Role’ler kullanıcıya kendi mailbox’ı üzerinde bilgileri değiştirmesine izin veriyor. Örnek “Mycontactinformation” rolüne de bir bakalım.

Get-ManagementRoleEntry “MyContactInformation\*”  ft name,parameters -wrap

 

MyContactInformation rolü Default Role Assignment policy’e verildiğinden ve bu policy her kullanıcıya atandığından her kullanıcı kendi mailbox’ı için Set-User, Get-Mailbox’ı yukarıdaki ekran görüntüsünde bulunan parametreler ile çalıştırabilir.

Bu sayede kullanıcılar OWA üzerinden Contact Bilgilerini kendileri değiştirebilirler.

Kullanıcımız Phone, Fax, Mobile Phone bilgisini değiştiriyor.

Ama diyelim ki yapımızda biz kullanıcılarımızın herhangi bir şekilde kendi Phone, Fax, Mobile Phone bilgisini değiştirmelerini istemiyoruz.

Bu durumda adım adım nasıl yaparız örnekleyelim:

1. Yeni bir Role yaratıyoruz.
Aslında bizim istediğimiz değişiklik MyContactInformation rolündeki bir Parametreyi kaldırmak olduğundan MyContactInformation rolünü kopyalıyoruz.

New-ManagementRole “MyContactNOPHONE” -Parent MyContactInformation

2. Yeni bir Role Assignment Policy yaratıyoruz:

New-RoleAssignmentPolicy “IstanbulUsersPolicy”

3. Yeni yarattığımız Policy’e rolleri atıyoruz:

New-ManagementRoleAssignment -Role MyContactNOPHONE -Policy IstanbulUsersPolicy
New-ManagementRoleAssignment -Role MyVoiceMail -Policy IstanbulUsersPolicy
New-ManagementRoleAssignment -Role MyTextMessaging -Policy IstanbulUsersPolicy
New-ManagementRoleAssignment -Role MyBaseOptions -Policy IstanbulUsersPolicy
New-ManagementRoleAssignment -Role MyDistributionGroupMembers -Policy IstanbulUsersPolicy

4. Phone,Fax ve Mobile Phone değiştirilmesin diye parametreleri kaldırıyoruz:

Set-ManagementRoleEntry “MyContactNOPHONE\Set-User” -Parameters Phone,MobilePhone,Fax -RemoveParameter

5. Kullanıcımıza IstanbulUsersPolicy ismini verdiğimiz Role Assignment Policy’i uyguluyoruz:

Set-Mailbox “Ozan Onder” -RoleAssignmentPolicy “IstanbulUsersPolicy”

Bu işleme Explicit Role Assignment deniyor.

Eğer Default Policy’i bu policy ile değiştirmek isterseniz,

Set-RoleAssignmentPolicy “IstanbulUsersPolicy” -isdefault

komutunu kullanarak organizasyonunuzdaki bütün kullanıcılara uygulayabilirsiniz.

6. Ozan Kullanıcısı ile tekrar deniyoruz:

Kullanıcımız belirttiğimiz alanları artık değiştiremiyor.

Direct User Role Assignment

Son yöntemimiz ise Direct User Role Assignment yöntemi. Management Role Group veya Management Role Assignment Policy kullanmadan direk kullanıcıya rol atamak anlamına geliyor. Bu tek bir kullanıcıya özel ihtiyaçlardan dolayı uygulayabileceğiniz bir yöntem. Eğer grup veya assignment policy kullanarak gerekli yetkileri sağlayamıyorsanız bu yöntem ile kullanıcıya role atayabilirsiniz.

Örnek olarak Ozan kullanıcımız Exchange Serverları yöneteceğinden kullanımıza “Exchange Servers” rolünü verelim.

New-ManagementRoleAssignment -Name “Exchange Servers_Ozan” -Role “Exchange Servers” -User Ozan

RBAC konusu kapsamlı bir konu. Bu konuyu kısaca özetlemeye çalıştım. Örnekler arttırılabilir. RBAC ile ilgili merak ettiğiniz bir konu varsa yorum yazarak sorabilirsiniz. En kısa zamanda geri dönüş yapmaya çalışırım.

RBAC’de yetki verirken sistem yöneticileri ve kullanıcılar için izleyebileceğimiz iki ana yol olduğunu birinci bölümde belirtmiştim. Yazımın bu bölümünde bu yöntemlerden ilki olan Management Role Groups (Yönetim Rolü Grupları)’u inceleyeceğiz. 

• Management Role Group: Sistem yöneticisi ve/veya sistem uzmanlarımıza yetki ve görevleri atamayı sadeleştirmeyi sağlayan Universal Security Grouplardır. Bu gruplara gerekli yetkileri (Management Roles) vererek belirleyeceğimiz kapsamdaki (Scope)  kullanıcı, distribution groupları gibi öğeleri yönetebiliriz. Bu grubun üyelerinin hepsinde aynı yetki olacağından kullanıcılara tek tek rol vermek yerine gruplar ile yönetim kolaylığı sağlanacaktır. Yazımın birinci bölümünde Exchange 2010 ile gelen varsayılan grupları belirtmiştim.
• Role holder:   Management Role Group’a dahil ettiğiniz kullanıcılar Role Holder olarak adlandırılır.
• Management role assignment:  Management Role Group ile atanan management role arasındaki bağlantıdır.
• Management role scope: Management Role Group’un hangi kapsamı yöneteceğini belirtir. Burada kapsam sunucular, Organizational Unit (OU) veya belli bir filtre ile ayrıştırılmış kullanıcılar olabilir.
• Management role: Management Role Group üyelerinin (Role Holders) hangi göreve sahip olacağını belirtir. Management Role ‘ler kullanılabilecek komutlar topluluğudur da diyebiliriz. Örneğin: Active Directory Permissions Role, Address Lists Role, ApplicationImpersonation Role, Audit Logs Role, cmdlet Extension Agents Role, Database Availability Groups Role, Database Copies Role, Databases Role. Bu roller sayesinde örneğin Audit Logs Role’a sahip bir grup audit loglar ile ilgili belirtilen scope doğrultusunda tüm işlemleri yapabilir.
• Management role entries:   Genellikle Management Role Group’a atanabilecek ve bu grup tarafından kullanılabilecek tek bir komut veya parametredir.

Aslında Management Role Group yapısını düzenlemeden önce yapılması gereken planlama mantık olarak çok zor değil. Cevaplamamız gereken 3 soru var:

Kim-Nereye-Ne Yapacak?

1. Role Holderları bulmak için: Kim?
2. Management Role Scope’u bulmak için: Nereye?
3. Ve son olarak Management Role veya Management Role Entries’i belirlemek için: Ne Yapacak? 

Bu sorunların cevabını aldığımız zaman Management Role Group’u oluşturmak için hazır sayılırız. Şimdi bu tanımları ve yapıyı daha iyi anlamak açısından Management Role Group yapısını örneklendirelim:

İstanbul’da bulunan çalışanlarımız için Mailboxlarının databaseler arasında taşınma yetkisini İlknur Çiğdem Varoğlu ve Mehmet Aydın adlı Help Desk kullanıcılarıma vermek istiyorum. Bunun yanında bu grubun üyelerinin yönetimini de Gökhan Özdamar adlı kullanıcımızın yapmasını istiyorum. Bu yapıyı Management Role Group kullarak yapacağımdan grubumun adınıda “Istanbul Helpdesk” olarak ayarlayacağım.

Özet olarak:

• Management Role Group: Istanbul Helpdesk
• Role Holders: İlknur Çiğdem Varoğlu, Mehmet Aydın
• Role Group Management User: Gökhan Özdamar
• Management Role Scope: Istanbul Users OU
• Management Role: User Accounts için Move Mailboxes

1. Öncelikle Management Role Scope yaratarak başlıyoruz:

New-ManagementScope -Name “Istanbul Users Mailboxes” -RecipientRestrictionFilter { RecipientType -eq ‘usermailbox’ } -RecipientRoot “getmailbox.org/Istanbul Users”

2. Management Role Group yaratıyoruz:

New-RoleGroup -Name “Istanbul Helpdesk” -Roles “Move Mailboxes” -ManagedBy “Gokhan Ozdamar” -Members “Ilknur Cigdem Varoglu”, “Mehmet Aydin” -CustomRecipientWriteScope “Istanbul Users Mailboxes”

Role group’u Active Directory’de görebiliyoruz:

3. Kullanıcımız ile deneme yapıyoruz:

İlknur Çiğdem kullanıcısı ile EMC’u açtığımız zaman yetkilerine göre erişebildiği fonksiyonların geldiğini görüyoruz.

  

Başka bir OU’da bulunan kullanıcının mailbox’ını taşımaya çalıştığımızda hata alıyoruz.

 

Yetkimiz olan OU’da bulunan kullanıcının mailbox’ını taşıyabiliyoruz.

Kullanıcıyı taşıyabiliyoruz ama başka hiçbir bilgisini değiştiremiyoruz.

Management Role Groupları sayesinde Exchange 2010′da iyi bir planlama ile yetkileri yönetmek daha kolay olacaktır.

Bir başka örnek olması açısından. Bir Management grup yaratıp sadece Istanbul Users OU üzerinde “Send on Behalf” yetkisi verelim:

New-ManagementRole -Name “IstanbulSendOnBehalf” -Parent “Mail Recipients”

Get-ManagementRoleEntry “IstanbulSendOnBehalf\*” | where {($_.Name –notlike “Set-Mailbox”) –and ($_.Name –notlike “Get-Mailbox”)} | Remove-ManagementRoleEntry -Confirm $false

Set-ManagementRoleentry “IstanbulSendOnBehalf\Set-Mailbox” -Parameters GrantSendOnBehalfTo, Identity

New-RoleGroup -Name “Istanbul SendOnBehalf Yetkilileri” -Roles “IstanbulSendOnBehalf” -CustomRecipientWriteScope “Istanbul Users Mailboxes”