在Exchange2010中為郵箱服務(wù)引入了一組豐富而實(shí)用的技術(shù)、功能與服務(wù)。RBAC(基于角色的訪問(wèn)控制)無(wú)疑是這一組功能的亮點(diǎn)之一。在2010的版本中，基于角色的訪問(wèn)控制(RBAC)將會(huì)替代老版本中所使用的權(quán)限模型。在這片文章中，筆者將著重給大家介紹一下RBAC的特性以及部署過(guò)程中的注意事項(xiàng)。

一、RBAC對(duì)于不同類型的用戶有不同的作用。

在2010的Exchange系統(tǒng)中，將會(huì)全部使用基于角色的訪問(wèn)控制體系。在2007以前的版本中所采用的權(quán)限控制模型將會(huì)被全部淘汰掉。其實(shí)基于角色的權(quán)限控制體系并不是一個(gè)新事務(wù)，在其他應(yīng)用系統(tǒng)中都有比較不錯(cuò)的表現(xiàn)。微軟在這里只是引進(jìn)了這一體系，并結(jié)合Exchange的特點(diǎn)進(jìn)行了優(yōu)化而已。

那么RBAC對(duì)于Exchange來(lái)說(shuō)，到底有哪些革命性的變化呢？簡(jiǎn)單的說(shuō)，管理員可以通過(guò)RBAC基于角色的訪問(wèn)控制體系，為不同的角色定義極其多樣、精確的權(quán)限模型。如果有八個(gè)字來(lái)概括的話就是“豐富多彩”、“精確定位”。

具體的說(shuō)，對(duì)于不同類型的用戶會(huì)友不同的收益。如對(duì)于最終用戶來(lái)說(shuō)，管理角色分配策略定義了用戶可以在其的郵箱上說(shuō)配置的內(nèi)容。如可以控制用戶能否更改自己郵箱的簽名、更改過(guò)濾策略等等。還可以控制最終用戶是否可以更改其個(gè)人信息、聯(lián)系人信息、通訊組成員等等。這些特性有時(shí)候非常有用。如在一個(gè)企業(yè)中使用Exchange，則管理員可能會(huì)為整個(gè)公司的員工建立一個(gè)通訊簿。此時(shí)這個(gè)通訊簿最終用戶就不能夠隨意更改。默認(rèn)情況下，這些策略會(huì)自動(dòng)應(yīng)用于每個(gè)郵箱?；蛘哂捎脩羰止⒂靡部梢?。

而對(duì)于管理員用戶來(lái)說(shuō)，又會(huì)有不同的裨益。管理角色組能夠定義管理員用戶或者專家用戶能夠在系統(tǒng)中管理的內(nèi)容。簡(jiǎn)單的說(shuō)，就是角色組可以將需要的一系列管理角色聯(lián)系起來(lái)，組成一個(gè)虛擬的“集合”。系統(tǒng)管理員可以通過(guò)作為角色組成員來(lái)添加或者刪除用戶，或者在角色組中添加和刪除角色分配，從而可以控制成員只管理組織的某些特定方面。在大型的Exchange應(yīng)用中，這非常有好處。因?yàn)榇藭r(shí)企業(yè)往往有多個(gè)系統(tǒng)管理員。如各個(gè)分支機(jī)構(gòu)都會(huì)有一個(gè)郵箱管理員。這些郵箱管理員之能夠進(jìn)行一些簡(jiǎn)單地維護(hù)工作。如新加用戶或者刪除用戶，以及本地的數(shù)據(jù)備份等等。其他的維護(hù)任務(wù)，如防火墻策略等等只有某個(gè)特定的管理員才可以完成。

這種設(shè)計(jì)即可以在不同的管理員之間進(jìn)行合適的授權(quán)，以實(shí)現(xiàn)分工合;同時(shí)也可以提高系統(tǒng)的靈活性，為不同的分支機(jī)構(gòu)分配不同的管理策略，并由各自的管理員負(fù)責(zé)維護(hù)。[IT專家網(wǎng)獨(dú)家撰稿]

二、2010與2007版本權(quán)限管理的主要差異。

2010與2007在權(quán)限的管理上主要的差異就是在2010中使用了RBAC(基于角色的訪問(wèn)控制)體系。具體的來(lái)說(shuō)，這個(gè)差異主要是體現(xiàn)在ACL訪問(wèn)控制列表上。

眾所周知，如果要在2007版本上實(shí)現(xiàn)比較復(fù)雜、全面的權(quán)限控制，則需要借助于ACL訪問(wèn)控制列表。雖然ACL功能比較強(qiáng)大，但是其也會(huì)給管理員帶來(lái)很多的困擾。如在2007中，修改了ACL之后往往會(huì)出現(xiàn)一些莫名其妙的結(jié)果;有時(shí)候需要通過(guò)升級(jí)來(lái)維持ACL的更改;在非標(biāo)準(zhǔn)模式下使用ACL會(huì)受到諸多限制等等不利因素。但是在2010中由于采用率RBAC，這些困擾都將煙消云散。因?yàn)橥ㄟ^(guò)RBAC，管理員更不不需要修改和管理ACL訪問(wèn)控制列表。這才是這兩個(gè)版本在權(quán)限管理上的重要差異。而RBAC基于角色的訪問(wèn)控制只是一種表象。

#p#

三、角色組管理的注意事項(xiàng)。

在實(shí)際工作中，我們可以將Exchange的用戶分為兩類：管理員用戶和最終用戶。而管理員用戶又可以分為兩類：管理員與開發(fā)人員。有時(shí)候可能Exchange的現(xiàn)有功能無(wú)法滿足用戶的需求(雖然現(xiàn)在Exchange的功能已經(jīng)很強(qiáng)大)，此時(shí)就需要在原有的功能上進(jìn)行一些簡(jiǎn)單的二次開發(fā)或者部署配置。如可能需要跟OA系統(tǒng)集成等等。雖然他們同屬于管理員，但是他們的任務(wù)是不同的。如開發(fā)人員可能只管理Exchange的特定功能，其很少會(huì)涉及到Exchange現(xiàn)有功能的配置。為了避免開發(fā)人員一不小心改動(dòng)了郵箱配置給其他用戶帶來(lái)不必要的困擾，往往會(huì)對(duì)他們進(jìn)行權(quán)限的控制。

假設(shè)遇到這種需求，該如何解決呢？筆者的建議是，通過(guò)2010的RBAC權(quán)限控制體系，可以將管理角色組分為兩個(gè)。普通的管理員只維護(hù)組織、收件人等配置;而開發(fā)專家管理人員則只負(fù)責(zé)對(duì)Exchange的特定功能的開發(fā)與修改。通過(guò)這么分類，就可以防止這兩類人員之間的工作相互干擾。

另外，管理角色組可以將管理角色與一組管理人員或者專家用戶進(jìn)行有機(jī)的關(guān)聯(lián)。如開發(fā)人員只具有限的管理能力，沒(méi)有被授予廣泛的管理權(quán)限。此時(shí)也會(huì)出現(xiàn)一個(gè)新的問(wèn)題。如當(dāng)開發(fā)人員需要對(duì)剛才開發(fā)的某個(gè)功能進(jìn)行測(cè)試，卻發(fā)現(xiàn)自己沒(méi)有某個(gè)作業(yè)的權(quán)限。遇到這種情況的話，又該如何處理呢？對(duì)此筆者也有一個(gè)建議。某個(gè)特定的角色組能夠關(guān)聯(lián)公用管理角色。這個(gè)公用管理角色可以使開發(fā)人員也可以參與到管理組織以及收件人的配置中去。在有需要的時(shí)候，如在測(cè)試的過(guò)程中可以將它們關(guān)聯(lián)起來(lái)。等到完成之后，再剔除他們之間的關(guān)系。操作起來(lái)可以省心很多。

對(duì)于角色組的管理，筆者總結(jié)一下。主要就是對(duì)于非最終用戶，在必要時(shí)也需要進(jìn)行分類分組管理，以避免相互之間產(chǎn)生不必要的干擾。有時(shí)候由于某種特殊的原因需要“越權(quán)”的話，則可以將其臨時(shí)關(guān)聯(lián)到“公用管理角色”，以滿足特定權(quán)限的需要。注意，等到作業(yè)執(zhí)行完畢的時(shí)候，一定要收回相關(guān)的權(quán)限。“杯酒釋兵權(quán)”，可以提高Exchange服務(wù)器的安全與穩(wěn)定型。

四、直接用戶角色分配簡(jiǎn)化策略管理。

一般情況下，在RBAC中是先將角色(是否具有進(jìn)行某項(xiàng)作業(yè)的權(quán)限)分配給角色分配策略。然后再將角色分配策略與用戶進(jìn)行管理。簡(jiǎn)單的說(shuō)，就是權(quán)限、策略、用戶。注意，權(quán)限不能夠直接與用戶進(jìn)行關(guān)聯(lián)，必須通過(guò)策略這個(gè)中間媒體。這是RBAC的核心。在比較復(fù)雜的企業(yè)中，這種特性比較實(shí)用，可以強(qiáng)迫管理員通過(guò)策略來(lái)管理用戶以及用戶所擁有的權(quán)限。但是如果企業(yè)規(guī)模比較小，用戶數(shù)量比較少，此時(shí)采用這種管理模式的話，就有點(diǎn)“殺雞焉用牛刀”的感覺(jué)。

在這種情況下，就需要采用“直接用戶角色分配”功能，來(lái)簡(jiǎn)化權(quán)限的管理?！爸苯咏巧脩舴峙洹笔荝BAC中的一種例外的方法?？梢杂糜趯⒔巧苯臃峙浣o用戶，而不使用角色組或者角色分配策略。但需要為特定用戶提供一組比較精細(xì)的權(quán)限(即只有少數(shù)的用戶、甚至只有一個(gè)用戶需要)，此時(shí)直接角色分配就會(huì)非常有用。

不過(guò)在使用這種角色分配機(jī)制的時(shí)候需要注意其缺點(diǎn)。使用“直接角色分配”會(huì)增加權(quán)限模型的復(fù)雜性。具體增加的程度根據(jù)權(quán)限而定。如當(dāng)某個(gè)用戶離職了，需要手工刪除角色與用戶的關(guān)聯(lián)。為此除非有特殊的必要，一般不建議使用直接用戶角色分配這個(gè)功能。

一般情況下，可以將角色分配策略和直接角色用戶分配兩種方法結(jié)合起來(lái)使用。如假設(shè)只有一個(gè)管理員的話，管理員可以為自己采用直接角色用戶分配的功能。然后為其他用戶采用角色分配策略。