Exchange+Proxmox, настройка Set-SendConnector -Identity?

Question

[Stiffyx]

Настраиваю Proxmox для Exchange. Делаю всё, так сказать, по инструкции. И есть такой пункт, что нужно изменить соединитель отправки с 25 на 26 порт в Exchange Management Shell. Набираю там Set-SendConnector или Get-SendConnector, но мне пишет, что:

Set-SendConnector : Имя "Set-SendConnector" не распознано как имя командлета, функции, файла сценария или выполняемой программы. Проверьте правильность написания имени, а также наличие и правильность пути, после чего повторите попытку.
строка:1 знак:1
+ Set-SendConnector
+ ~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ObjectNotFound: (Set-SendConnector:String) [], CommandNotFoundException
    + FullyQualifiedErrorId : CommandNotFoundException

Честно говоря, не понимаю, что я делаю не так.

Answer 1

[MVV]

Exchange, если нет разрешения на применение команды, пишет именно то, что команда не найдена, а не то, что нет разрешения.
Поэтому проверьте наличие нужной для управления соединителем роли у пользователя, под которым запускаетте EMS. Чтобы сильно не заморачиваться, просто используйте пользователя с членством в ролевой группе Organization Management (ролевые группы представлены как одноименные универсальные группы в AD, можете проверить безо всякого Exchange члество пользователя там).

PS Я предполагаю, что у вас разрешения Exchange установлены по умолчанию и split permissions не используется. Если это не так - придется рыть конкретно, что и как у вас там настроено, варианты возможны весьма разнообразные.

Comments

[Stiffyx]

А это нормально, когда вывожу список команд Exchange - Get-ExCommand, в списке нет Set-SendConnector?

[Stiffyx]

Установил на виртуальную машины чистый Exchange, запустил Set-SendConnector, да, всё работает. И заметил, что в панели управления Excahnge, там где роли администратора (где эта команда не работает) пишет:
"Эту группу ролей нельзя скопировать здесь, так как она содержит роли, которые были назначены с помощью областей множественной или монопольной записи."
Может подскажете, с чего начать, где рыть?(

[MVV]

Рыть - в документации Exchange или книжке по нему: его ролевая модель много что может. Например - задавать разрешения не по всей организации, а по определенной области (группам объектов).

Короче, у вас явно существует нестандартная настройка ролевой модели доступа, с которой надо разбираться весьма конкретно. В двух словах в вопроснице мне это описать трудно. Там одних типов объектов, которые описывают эту ролевую модель - не один и не два.

Вот выбрал краткое описание из своего конспекта, который создал, когда к сдаче сертификационного экзамена готовился:

Архитектура RBAC
Базовый элемент RBAC - роль (management role).
Роли делятся
по способу создания на
встроенные(builtin)
созданные на основе встроенных (custom)
верхнего уровня без области действия (Unscoped top-level), см. раздел ниже
по области применения на
административные (Administrative or specialist)
пользовательские (User-focused)
приложений или специальные (Specialty)
Встроенная роль - это набор элементов роли (role entries)
Элементы роли могут иметь типы: Cmdlet, Script,WebService, ApplicationPermission
элемент типа Cmdlet/Script имеет имя, совпадающее с именем комадлета/скрипта
и список допустимых параметров командлета

Роли, созданные на основе встроенных, содержат в себе ссылку на родительскую роль и список удаленных из неё
элементов роли или параметров (для элементов типа Cmdlet)

Субъектами RBAC (к кому применяются правила управления доступом) для ролей администраторов и приложений могут быть:
ролевые группы
другие универсальные группы безопасности
пользователи (или компьютеры)
Примененные к ролевым и прочим универсальным группам права применяются, в конечном итоге к входящим в них пользователям (или компьютерам)

Ролевые группы -базируются на универсальных группах безопасности. Их членами могут быть пользователи и другие универсальные группы безопасности и членством в них можно управлять через командлеты Exchange

Области действия (management scope)
Области действия по своему происхождению бывают:
Implicit Scopes - унаследованы от ролей:
(Recipient scopes):
Organization: all recipients in organization
MyGAL: recipients in the current user's GAL
Self: current user
MyDistributionGroups: Groups owned by current user
MailboxICanDelegate: mailboxes with write access to their Personal-Information property group(Extended Right)
(Configuration scopes):
OrganizationConfig: All Exchange configuration objects in the organization
(Universal scope):
None: Scope of this type is not available for the role
Explicit Scopes - определены в назначениях ролей, только Write Scopes (Read scopes всегда Implicit):
Predefined Relative Scopes: (all - recipient scopes, see above)
Organization, MyGAL, Self, MyDistributionGroups
Custom scopes:
Recipient scopes:
OU scopes - получатели из указанного OU
Recipient Filter scopes - получатели, попадающие под указанный фильтр
Configuration scopes:
Server Scopes - серверы и БД на серверах, попадающих в Scope
Server Filter scope - попадание определяется фильтром
Server List scope - попадание определяется списком серверов (фактически преобразуется в фильтр по DistinguishedName)
Database Scopes - базы данных, попадающие в Scope
Database Filter scope - попадание определяется фильтром
Database List scope - попадание определяется списком БД (фактически преобразуется в фильтр по DistinguishedName)

Типы Custom Scopes по ограниченю области действия: Regular & Exclusive
Все другие типы Scope относятся к категории Regular

Exclusive scope: блокирует доступ к попадающим в него объектам через все Regular Scope, в которые эти объекты также попадают.
Если объекты попадают также в другой Exclusive Scope, то доступ через этот другой Exclusive Scope не блокируется.

Роли для администраторов и приложений связаны с субъектами RBAC при помощи назначений ролей (management role assignment).
Назначение роли содержит субъект RBAC, назначенную роль и область действия (см.plan and configure a custom-scoped role group ниже)
Встроенные роли имеют неявные области действия - чтения и записи.
При назначении роли область действия не может выходить за пределы области действия родительской роли

Помимо обычных (regular) назначений ролей существуют назначения делегирования (delegating).
Эти назнчения не предоставляют разрешений, которые доступны через роли,
а предоставляют право назначать делегированные роли другим субъектам RBAC (в т.ч. - себе самому).

Role Group бывают типов Standard (обычная група с членами группы из леса Exchange)
и Linked (связанная с USG в другом лесу)

Это - самое верхнеуровневое описание. Может быть, вам поможет. У меня в полном конспекте к каждому типу объектов ролевой модели приложены ещё описание команд, но этот текст вряд ли будет читаем другим человеком, да и большой он, поэтому целиком не привожу.

PS. Вот ещё информация, которая вам может быть полезна - список команд для просмотра этих объектов.

Get-ManagementScope – displays defined scopes, or details of a individual scope.
Get-ManagementRole
-GetChildren – enumerate roles of immediate children
-Recurse – enumerate roles of children and the children of those roles
-Cmdlet – enumerate roles include this specific cmdlet
-CmdletParameters – enumerate roles include this specific parameter
-RoleType
Get-ManagementRoleEntry – shows all the role entries in a Management role
Get-RoleGroup – shows all the groups or if you specify one with –ID will give you details on that group
Get-RoleGroupMember – shows all the group’s members
Get-RoleAssignmentPolicy – Shows the role assignment policies
Get-ManagementRoleAssignment
-GetEffectiveUser - users, to which assignment in effect
-WritableRecipient/Server/Database - all assignments to which the object falls
-Exclusive $ true | $false - search for all exclusive scopes (may be combined with previous)
Get-ManagementRoleAssignment -Role -GetEffectiveUsers | select EffectiveUserName -Unique - пользователи, которые имею назначенную роль

В частности, посмотреть роли, которые имеют права на использование Set-SendConnector можно командой

Get-ManagementRole -Cmdlet Set-SendConnector
Может быть, там нужны и ещё какие-то параметры, сейчас не помню.

И да, разрешение/запрет разных параметров команды можно задавать отдельно, имейте это в виду.

[MVV]

А это нормально, когда вывожу список команд Exchange - Get-ExCommand, в списке нет Set-SendConnector?

Stiffyx, да, нет прав на выполнение команды - нет команды в списке, именно так.

[Stiffyx]

Понял, спасибо. Буду изучать)

Answer 2

[Stiffyx]

Пытаюсь запустить команду под учётной записью Администратора, в группе Organization Management он присутствует. Но всё равно эта ошибка. Настроено всё из коробки, всё, что я делал - создавал пользователей, добавлял домены, коннекторы и прочая мелочь. Никаких тонких настроек, вроде распределения прав между администраторами домена и Exchange, я не делал (как понимаю, split permissions это имеется ввиду). Вот и куда копать, не знаю теперь(