使用 EAC 管理多樹系 Exchange 部署
英文原文已於 2012 年 8 月 31 日星期五發佈
以下最新文章將介紹全新的 Exchange 系統管理中心 (EAC),我們接著會說明新的 EAC 如何讓管理多數系 Exchange 部署變得簡單又輕鬆。
如同在跨樹系拓撲中部署 Exchange 2010 的說明,Exchange Server 2010 可以在跨樹系或資源樹系拓撲中進行部署。本文旨在透過新 Exchange 採用相同的方法來部署資源樹系拓撲。
首先,設定一個資源樹系環境,如下圖所示;藉由單向的樹系信任設定,樹系 B (Forest B) 會對樹系 A (Forest A) 產生信任關係。
樹系 A 是帳戶樹系,即所有使用者帳戶的佈建之處,這裡未安裝任何 Exchange 伺服器。樹系 B 是資源樹系,已安裝 Exchange Server 2013 並為每個樹系 A 使用者帳戶提供連結的信箱,但無法佈建使用者帳戶。
在實驗室環境中,我們將使用者 John Doe 設定於樹系 A。現在,想要讓 John Doe 擔任 Exchange 管理員。若要進行此動作,需確保 John Doe 在適當的 Exchange 資源樹系中擁有適當的角色型存取控制 (RBAC) 權限。由於我們正在處理多數系環境,有二種設定 RBAC 的方式,我們皆會予以嘗試:
- 使用連結的信箱
- 使用連結的角色群組
您可能已經在帳戶樹系中設定了使用者,將這些使用者設定為以連結的信箱建立他們在 Exchange 資源樹系中的目前狀態,再將這些連結的信箱新增至現有 RBAC 角色群組,如此一來,相關聯的角色就會有效成為 Exchange 管理員。
使用連結的信箱
下圖中,John Doe 的使用者帳戶已設定於帳戶樹系中。Exchange 管理員可以使用 EAC 為他建立一個連結的信箱,如下圖所示。
然後,就可以將 John 的信箱新增至任何內建 RBAC 系統管理的角色群組而讓他成為 Exchange 管理員。由下方的螢幕擷取畫面所示,John 已經成為內建 [組織管理] (Organization Management) 角色群組的成員了。
圖 3:John Doe 已被新增為 [組織管理] (Organization Management) 角色群組的成員。
現在,來試試以 John 自己的身分登入 EAC,John 應該已擁有 Exchange 系統管理的權限,而我們會看到以下的樣子。
圖 4:以 John Doe 的身分登入 EAC,設定為連結的信箱以及 [組織管理] 角色群組的成員。
使用連結的角色群組
連結的角色群組本質上為角色群組,但可透過萬用安全性群組 (USG) 來連結整個樹系界限。因此,此 USG 的成員會有效成為連結的角色群組成員之一,也就是說,如果 John Doe 是這類 USG 的成員,透過連結的角色群組,他會自動取得 Exchange 資源樹系中的所有 RBAC 權限。連結的角色群組有可能會讓某一帳戶樹系中的一小組 USG 管理複雜多重的 Exchange 樹系拓撲。
為示範上述內容,我們將進行下列動作:
- 在帳戶樹系中,使用 [Active Directory 使用者及電腦] (ADUC) 管理工具,建立一個名為 AdminSG 的 USG,AdminSG 會代表 Exchange 管理員的一個群組,然後,我們將使 John Doe 成為 AdminSG 的成員之一
- 在資源樹系中,以內建角色群組 [組織管理] 建立單一連結的角色群組,使用下列的 [Exchange 管理命令介面] 呼叫以對應至 AdminSG:
$accountForestCredential = Get-Credential
$OrgMgmt = Get-RoleGroup "Organization Management"
New-RoleGroup "Organization Management - Linked" -LinkedForeignGroup "AdminSG" -LinkedDomainController bjex062.extest.microsoft.com -LinkedCredential $accountForestCredential -Roles $OrgMgmt.Roles
Get-ManagementRoleAssignment -RoleAssignee "Organization Management - Linked" -Role My* | Remove-ManagementRoleAssignment
Get-ManagementRole | New-ManagementRoleAssignment -SecurityGroup "Organization Management - Linked" -Delegating
經過以上步驟,John Doe 現在有了 Exchange 資源樹系中的所有 RBAC 權限,即使他的使用者帳戶在帳戶樹系中。
現在,我們嘗試以 John Doe 登入 EAC,從任何電腦啟動 EAC,並將其指向資源樹系中的 CAS 伺服器,我們便登入成功。John 擁有 [組織管理] RBAC 角色群組中所定義的標準 RBAC 權限,能夠據此在資源樹系中管理 Exchange。
圖 5:透過連結的 [組織管理] 角色群組,以 John Doe 的身分登入。
試試看 EAC!
如您所看到的,EAC 使得多樹系 Exchange 部署管理變得輕鬆容易。您不需要從遠端連接至專用管理機器才能管理特定的 Exchange 樹系,也不需在每個 Exchange 資源樹系中建立特殊的系統管理帳戶,您可以直接從自己電腦上的 EAC 以現有使用者認證來進行管理!
EAC 可從最新的 Exchange 2013 Preview 下載區中取得,以及透過 Office 365 Customer Preview (可能為英文網頁) 提供。我們將於未來幾週內繼續撰寫更多關於 EAC 的文章。同時,請試試看新的 EAC,並提供我們意見反應!
Exchange 管理能力小組
這是翻譯後的部落格文章。英文原文請參閱 Using EAC to manage multi-forest Exchange deployments