Come proteggere i modelli di destinatari
Si applica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Ultima modifica dell'argomento: 2007-03-26
In Microsoft Exchange Server 2007 è possibile utilizzare un destinatario esistente come modello. In questo modo è possibile eseguire il provisioning dei destinatari in modo coerente senza dover specificare esplicitamente tutte le impostazioni di configurazione. Quando si utilizza un destinatario esistente come modello durante la creazione di nuovi destinatari, è anche possibile mantenere i destinatari specifici dedicati allo scopo. Un destinatario utilizzato soltanto come modello per il provisioning dei nuovi destinatari viene denominato modello di destinatario.
Un modello di destinatario non è associato a una persona, a una risorsa o a un gruppo reali. Pertanto, è necessario proteggere i modelli di destinatari per ridurre al minimo i rischi che derivano dall'avere un account generico. Questa condizione assume particolare importanza in caso di modelli di utenti di posta o di cassette postali, in quanto entrambi dispongono delle credenziali di accesso al servizio directory di Active Directory e possono essere utilizzati per accedere alle risorse nell'organizzazione in un modo imprevedibile se non adeguatamente protetti.
In questo argomento viene descritto come utilizzare Utenti e computer di Active Directory ed Exchange Management Console oppure Exchange Management Shell per proteggere i modelli di destinatari.
Informazioni preliminari
Per eseguire questa procedura, è necessario utilizzare un account che disponga della seguente delega:
Ruolo Exchange Recipient Administrator
Ruolo operatore account per i contenitori Active Directory applicabili
Per ulteriori informazioni sulle autorizzazioni, sulla delega dei ruoli e sui diritti necessari per l'amministrazione di Exchange 2007, vedere Considerazioni sulle autorizzazioni.
Procedura
La procedura da seguire per proteggere un modello di destinatario è la stessa per tutti i destinatari. Tuttavia, è necessario eseguire attività aggiuntive per i destinatari che dispongono delle credenziali di accesso ad Active Directory, quali gli utenti di posta e le cassette postali. Questo argomento è suddiviso nelle seguenti sezioni:
Protezione dei modelli di utenti di posta e di cassette postali
Protezione dei modelli di gruppi di distribuzione, di gruppi di distribuzione dinamici e di contatti di posta
Protezione dei modelli di utenti di posta e di cassette postali
Sia i modelli di utenti di posta che di cassette postali dispongono delle credenziali di accesso ad Active Directory e possono accedere alle risorse per le quali dispongono dell'autorizzazione. Pertanto, è necessario assicurarsi che l'account utente associato a un modello di utente di posta o di cassetta postale non venga mai utilizzato per accedere alle risorse.
Nota
Sebbene nelle procedure di questa sezione venga descritto come proteggere un modello di cassetta postale, il processo risulta identico anche per un modello di utente di posta.
Per proteggere i modelli di utenti di posta e di cassette postali, è necessario eseguire almeno i passaggi riportati di seguito.
Per utilizzare Utenti e computer di Active Directory per proteggere un modello di cassetta postale
Avviare Utenti e computer di Active Directory.
Nell'albero della console selezionare l'unità organizzativa (OU, organizational unit) contenente l'account utente per il modello di cassetta postale.
Nel riquadro dei dettagli fare clic con il pulsante destro del mouse sull'account utente associato al modello di cassetta postale, quindi fare clic su Disabilita account. Questo passaggio è necessario per impedire che l'account venga utilizzato per accedere ad Active Directory.
Fare clic con il pulsante destro del mouse sull'account utente disabilitato, quindi scegliere Proprietà.
In Proprietà< Cassetta postale <, nella scheda Membro di fare clic su Aggiungi per aprire la finestra di dialogo Seleziona gruppi.
Nella casella Immettere i nomi degli oggetti da selezionare digitare gli account di modelli, quindi fare clic su Controlla nomi.
Fare clic su OK per chiudere la finestra di dialogo Seleziona gruppi.
In Membro di fare clic sul gruppo Account di modelli, quindi fare clic su Imposta gruppo primario.
Selezionare il gruppo Domain Users, quindi fare clic su Rimuovi. Questo passaggio è necessario per assicurare che l'account non ottenga l'accesso alle risorse di rete, anche se accidentalmente abilitato.
Importante
Se l'utente del modello è un membro solo del gruppo di protezione Domain Users, non sarà possibile rimuovere la sua appartenenza poiché si tratta del gruppo di protezione primario per l'utente in questione. In Active Directory ogni utente deve essere membro di almeno un gruppo di protezione. Pertanto, è necessario creare un gruppo di protezione dedicato che funga da gruppo di protezione primario per tutti gli account utente utilizzati come modello. Tale gruppo di protezione non deve essere utilizzato per assegnare autorizzazioni. Per la procedura dettagliata di protezione dei gruppi, vedere Protezione dei gruppi amministrativi e degli account di Active Directory (informazioni in lingua inglese). In questa procedura si presuppone che sia stato già creato un gruppo di protezione denominato Account di modelli adibito allo scopo.
Fare clic su OK.
Per la protezione di un modello di utente di posta o di cassetta postale, si consiglia l'esecuzione anche dei seguenti passaggi aggiuntivi. Tuttavia, le impostazioni di configurazione modificate dall'esecuzione di questi passaggi vengono copiate nei nuovi destinatari di cui è stato eseguito il provisioning utilizzando questo modello. Pertanto, se si esegue la procedura seguente, è necessario ricordarsi di reimpostare le impostazioni per i nuovi destinatari di cui è stato eseguito il provisioning utilizzando questo modello.
Per utilizzare Exchange Management Console per eseguire ulteriori passaggi per proteggere un modello di cassetta postale
Avviare Exchange Management Console.
Nell'albero della console fare clic su Configurazione destinatario.
Nel riquadro dei risultati fare clic con il pulsante destro del mouse sul modello di cassetta postale. quindi scegliere Proprietà.
In Proprietà <Modello di cassetta postale>, nella scheda Generale selezionare la casella di controllo Non visualizzare negli elenchi di indirizzi di Exchange. In questo modo il modello di utente di posta o di cassetta postale non verrà visualizzato nell'elenco indirizzi globale o in altri elenchi di indirizzi di Exchange.
In Proprietà <Modello di cassetta postale>, nella scheda Impostazioni flusso di posta selezionare Restrizioni di dimensione per i messaggi, quindi fare clic su Proprietà.
In Restrizioni di dimensione per i messaggi selezionare la casella di controllo Dimensione massima dei messaggi (KB) per Dimensione messaggi in arrivo. Digitare 0 nella casella di testo. Poiché i modelli di destinatari non vengono monitorati, questo passaggio serve a impedire la ricezione di messaggi di posta elettronica da parte del modello di cassetta postale.
Fare clic su OK.
Fare clic su OK.
Per utilizzare Exchange Management Shell per eseguire ulteriori passaggi per proteggere un modello di cassetta postale
Per eseguire ulteriori passaggi per proteggere il modello di cassetta postale Template Mailbox, eseguire il comando riportato di seguito (per un utente di posta utilizzare il cmdlet Set-MailUser con gli stessi parametri).
Set-Mailbox -Identity "Template Mailbox" -HiddenFromAddressListsEnabled $true -MaxReceiveSize 0KB
Per reimpostare queste impostazioni aggiuntive per le nuove cassette postali o i nuovi utenti di posta di cui è stato eseguito il provisioning utilizzando un modello di destinatario protetto, ripetere le procedure precedenti e invertire le modifiche. Tuttavia, la funzionalità del pipelining di Exchange Management Shell consente di eseguire il provisioning del nuovo destinatario e di reimpostare le impostazioni utilizzando una sola riga di codice. Di seguito è riportato un esempio di questa operazione per una cassetta postale. Il processo è identico per un utente di posta. È tuttavia necessario utilizzare i cmdlet Get-MailUser, New-MailUser e Set-MailUser.
Per utilizzare Exchange Management Shell per creare una nuova cassetta postale utilizzando un modello di destinatario e reimpostare le impostazioni aggiuntive di configurazione utilizzate per proteggere il modello di cassetta postale
Per creare una cassetta postale per John Smith utilizzando il modello di cassetta Template Mailbox, eseguire i comandi riportati di seguito (viene eseguita la pipeline del risultato del cmdlet New-Mailbox sul cmdlet Set-Mailbox per reimpostare le impostazioni di configurazione aggiuntive utilizzate per proteggere il modello di cassetta postale).
$Temp = Get-Mailbox "Template Mailbox" New-Mailbox -Name "John Smith" -UserPrincipalName "jsmith@contoso.com" -OrganizationalUnit "contoso.com/Users" -Database "Server01\Mailbox Database" -TemplateInstance $Temp | Set-Mailbox -HiddenFromAddressListsEnabled $false -MaxReceiveSize unlimited
Immettere la password per la nuova cassetta postale, quando richiesto.
Per informazioni dettagliate sulla sintassi e sui parametri, vedere i seguenti argomenti di riferimento:
Protezione dei modelli di gruppi di distribuzione, di gruppi di distribuzione dinamici e di contatti di posta
Si consiglia l'esecuzione della seguente procedura per la protezione dei modelli di gruppi di distribuzione, di gruppi di distribuzione dinamici e di contatti di posta. Tuttavia, le impostazioni di configurazione modificate dall'esecuzione di questi passaggi vengono copiate nei nuovi destinatari di cui è stato eseguito il provisioning utilizzando questo modello. Pertanto, se si esegue la procedura seguente, è necessario ricordarsi di reimpostare le impostazioni per i nuovi destinatari di cui è stato eseguito il provisioning utilizzando questo modello.
Importante
Non utilizzare mai un gruppo di protezione universale come modello di gruppo di distribuzione. I gruppi di protezione universale possono essere utilizzati per ottenere le autorizzazioni di accesso alle risorse in Active Directory. Utilizzare un gruppo la cui entità di protezione si trova in Active Directory come modello di gruppo di distribuzione significa correre degli inutili rischi per la protezione in quanto è necessario specificare il tipo di gruppo di distribuzione per tutti i nuovi gruppi di distribuzione.
Nota
Sebbene nelle procedure di questa sezione venga descritto come proteggere un modello di contatto di posta, il processo risulta identico anche per un modello di gruppo di distribuzione o di gruppo di distribuzione dinamico.
Per utilizzare Exchange Management Console per proteggere un modello di contatto di posta
Avviare Exchange Management Console.
Nell'albero della console fare clic su Configurazione destinatario.
Nel riquadro dei risultati fare clic con il pulsante destro del mouse sul modello di contatto di posta e scegliere Proprietà.
In Proprietà <Modello di contatto di posta>, nella scheda Generale selezionare la casella di controllo Non visualizzare negli elenchi di indirizzi di Exchange. In questo modo il modello di contatto di posta non verrà visualizzato nell'elenco indirizzi globale o in altri elenchi di indirizzi di Exchange.
In Proprietà <Modello di contatto di posta>, nella scheda Impostazioni flusso di posta selezionare Restrizioni di dimensione per i messaggi, quindi fare clic su Proprietà.
In Restrizioni di dimensione per i messaggi selezionare la casella di controllo Dimensione massima dei messaggi (KB) per Dimensione messaggi in arrivo. Digitare 0 nella casella di testo. Poiché i modelli di destinatari non vengono monitorati, questo passaggio serve a impedire la ricezione di messaggi di posta elettronica da parte del modello di contatto di posta.
Fare clic su OK.
Fare clic su OK.
Per utilizzare Exchange Management Shell per proteggere un modello di contatto di posta
Per eseguire ulteriori passaggi per proteggere il modello di contatto di posta Template Mail Contact, eseguire il comando riportato di seguito (per un gruppo di distribuzione utilizzare il cmdlet Set-DistributionGroup mentre per un gruppo di distribuzione dinamico utilizzare il cmdlet Set-DynamicDistributionGroup con gli stessi parametri).
Set-MailContact -Identity "Template Mail Contact" -HiddenFromAddressListsEnabled $true -MaxReceiveSize 0KB
Per reimpostare queste impostazioni aggiuntive per i destinatari di cui è stato eseguito il provisioning utilizzando un modello di destinatario protetto, ripetere le procedure precedenti e invertire le modifiche. Tuttavia, la funzionalità del pipelining di Exchange Management Shell consente di eseguire il provisioning del nuovo destinatario e di reimpostare le impostazioni utilizzando una sola riga di codice. Di seguito è riportato un esempio di questa operazione per un contatto di posta. Il processo è lo stesso di quello utilizzato per un gruppo di distribuzione o per un gruppo di distribuzione dinamico ma è necessario utilizzare i cmdlet Get-DistributionGroup, New-DistributionGroup e Set-DistributionGroup per il tipo di destinatario del gruppo di distribuzione e i cmdlet Get-DynamicDistributionGroup, New-DynamicDistributionGroup e Set-DynamicDistributionGroup per il tipo di destinatario del gruppo di distribuzione dinamico.
Per utilizzare Exchange Management Shell per creare un nuovo contatto di posta utilizzando un modello di destinatario e reimpostare le impostazioni aggiuntive di configurazione utilizzate per proteggere il modello di contatto di posta
Per creare un contatto di posta per John Smith utilizzando il modello di contatto di posta Template Mail Contact, eseguire i comandi riportati di seguito (viene eseguita la pipeline del risultato del cmdlet New-MailContact sul cmdlet Set-MailContact per reimpostare le impostazioni di configurazione aggiuntive utilizzate per proteggere il modello di contatto di posta).
$Temp = Get-MailContact "Template Mail Contact" New-MailContact -Name "John Smith" -UserPrincipalName "jsmith@contoso.com" -OrganizationalUnit "contoso.com/Users" -Database "Server01\Mailbox Database" -TemplateInstance $Temp | Set-MailContact -HiddenFromAddressListsEnabled $false -MaxReceiveSize unlimited
Per informazioni dettagliate sulla sintassi e sui parametri, vedere i seguenti argomenti di riferimento:
Ulteriori informazioni
Per la procedura dettagliata di creazione di destinatari utilizzando i modelli di destinatari, vedere Come utilizzare modelli per creare destinatari.
Per ulteriori informazioni sui destinatari, vedere Concetti relativi ai destinatari.
Per ulteriori informazioni sulla funzionalità del pipelining in Exchange Management Shell, vedere Pipelining.
Per ulteriori informazioni sulle interfacce di gestione in Exchange 2007, vedere Interfacce di gestione.