Cómo delegar la administracion de grupos en Exchange 2010/2013 – Parte 2

En la primer parte de esta serie vimos algunos conceptos básicos a nivel de delegación de permisos a usuarios finales, problemas comunes que nos podemos encontrar, muy brevemente tratamos RBAC y por último cómo realizar la delegación para que un usuario final que requiera administrar la membresía de un grupo lo pueda hacer sin darle permisos extras como por ejemplo la posibilidad de crear o remover grupos.

El paso a paso visto funciona muy bien y en organizaciones pequeñas quizás no haya mucho más que meditar, pero que pasa si tengo muchos grupos y quiero delegar la administración a varios usuarios en base a su membresía? como vimos en la primer parte no es posible en Exchange 2010 setear un grupo como propietario de otro grupo por lo que de algún modo tengo que ver como incluir las cuentas individuales en el atributo de “Managedby”.

Actualización 11/7/14: En Exchange 2013 SP1 (cu4) es posible utilizar un grupo universal de seguridad en el campo de ManagedBy

Esto no sería todo, después tengo que ver cómo mantener esto, qué pasa si un usuario ya no pertenece al grupo delegado? qué pasa si un usuario nuevo se agrega a uno de estos grupos? el administrador tendría que revisar el campo de “managedby” de cada grupo que tenga delegado uno por uno y chequear que este actualizado respecto a la membresía de los grupos inicialmente utilizados para la delegación? Esto podría llevar mucho tiempo y sería muy difícil de mantener de forma manual, muy propenso a error.

Quienes trabajan con grupos delegados en versiones anteriores en general utilizan grupos y no tienen que preocuparse de listar de forma individual cada cuenta (como uno esperaría que fuese también en Exchange 2010 o 2013) pero a partir del cambio del modelo de seguridad a RBAC algunas cosas se podría decir que no acompañaron esta evolución y estamos frente a una de ellas, igualmente el workaround que vamos a ver para emular el comportamiento de versiones anteriores del producto funciona bien y conceptualmente lo puedo utilizar para realizar otro tipo de tareas.

Antes de ver la solución a este tema veamos que error nos podríamos encontrar si intentamos setear un grupo como propietario de otro, este caso el ejemplo fue tomado con Exchange 2013 (antes de CU4) pero sería similar en Exchange 2010:

Get-DistributionGroup “nombredegrupo” | set-DistributionGroup –ManagedBy “grupo de delegados”

Cannot process argument transformation on parameter ‘ManagedBy’. Cannot convert value “nombre de grupo” to type “Microsoft.Exchange.Data.MultiValuedPorperty”…..

Error: “Conversion from System.Management.Automation.PSObject to Microsoft.Exchange.Configuration.Tasks.GeneralRecipientIdParameter has not been implemented.” …

set-distributiongroups -managedby

Solución

Si bien esta situación agrega complejidad al tema, afortunadamente el equipo de Exchange desarrolló un script denominado Set-DistributionGroupOwners.ps1 el cual puede ser descargado del script repository de Microsoft. Básicamente lo que hace este script es emular la utilización de un grupo en el campo de “Managedby”.

About Daniel Núñez Banega

Consultor IT especializado en Microsoft Exchange, Active Directory y Microsoft 365.
Principales Certificaciones: Microsoft Certified Trainer | Microsoft Certified Solutions Expert | Microsoft Certified Systems Engineer | Microsoft Certified Systems Administrator | Microsoft Certified IT Professional | Microsoft Certified Technology Specialist | Microsoft 365 Certified: Enterprise Administrator Expert | Microsoft 365 Certified: Security Administrator Associate | Microsoft Certified: Cybersecurity Architect Expert | Comptia Pentest+ | EC-Council Certified Ethical Hacker Master

Reader Interactions

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *