Сценарий: развертывание политик адресных книг
Область применения: Exchange Server 2013 г.
Сценарии развертывания
В следующих трех сценариях описываются возможные решения для развертывания для трех различных типов организаций. Хотя существует много других сценариев, наиболее популярные из них рассматриваются здесь. Списки адресов и глобальные списки адресов (GAL) в этих сценариях были созданы на основе фильтров, таких как Настраиваемые атрибуты, которые логически группировали объекты.
Сценарий 1. Две отдельные компании — одна организация Exchange
Этот сценарий применим к правительственным учреждениям, подразделениям или отделам, которые совместно используют инфраструктуру, но не имеют цепочки отчетности и не имеют общих сотрудников. Кроме того, в подразделениях нет особых проблем с безопасностью или конфиденциальностью. В этом сценарии создаются две политики адресной книги (ABP), в которых сотрудники могут видеть участников одной организации только при просмотре глобального списка адресов или о членстве в других группах рассылки. Кроме того, пользователи не будут членами групп рассылки, охватывающих всю организацию.
AbP Contoso и Humongous Insurance были созданы с помощью следующих списков адресов, глобальных списков адресов, списков комнат и OAB, которые были созданы с помощью фильтра получателей, который группировал объекты с фильтром, например настраиваемым атрибутом. Так как две компании разделены без какого-либо взаимодействия между ними, нет общих списков адресов.
Contoso | Humongous Insurance | |
---|---|---|
Списки адресов | AL_CON_Groups AL_CON_Users AL_CON_Contacts |
AL_HI_Groups AL_HI_Users AL_HI_Contacts |
Глобальный список адресов | GAL_CON | GAL_HI |
Список адресов помещений | AL_CON_Rooms | AL_HI_Rooms |
Автономная адресная книга | OAB_CON | OAB_HI |
Сценарий 2. Две компании совместно используют генерального директора
В этом сценарии Fabrikam и Tailspin Toys используют одну и ту же организацию Exchange и одного генерального директора. Генеральный директор является единственным общим человеком между двумя компаниями. Для этого сценария требуется три ASP со следующими характеристиками:
- Пользователи в Tailspin Toys могут видеть пользователей Tailspin Toys только при просмотре глобального списка адресов.
- Пользователи в Fabrikam могут видеть пользователей Fabrikam только при просмотре глобального списка адресов.
- В каждой компании есть группа распределения SeniorLeaders, в которую входят старшие руководители этой компании и генеральный директор.
- Пользователи, которые смотрят на членство в группах генерального директора, будут видеть только группы, принадлежащие компании пользователя. Они не увидят группы не в своей компании.
- Создаются три ABP: Fab, Tail и CEO.
Fabrikam | Tailspin Toys | Директор | |
---|---|---|---|
Списки адресов | AL_FAB_Users_DGs AL_FAB_Contacts |
AL_TAIL_Users_DGs AL_TAIL_Contacts |
AL_FAB_Users_DGs AL_FAB_Contacts AL_TAIL_Users_DGs AL_TAIL_Contacts |
Глобальный список адресов | GAL_FAB | GAL_TAIL | Глобальный список адресов по умолчанию |
Список адресов помещений | AL_FAB_Rooms | AL_TAIL_Rooms | Все комнаты по умолчанию |
Автономная адресная книга | OAB_FAB | OAB_TAIL | Автономная адресная адресная адрес |
Когда генеральный директор добавляется в группы распределения в каждой организации и попадает в область действия ABP каждой компании, генеральный директор становится видимым для каждой компании. Генеральный директор может создавать группы рассылки, охватывающие обе компании и которые будут отображаться в списке глобальных адресов каждой компании, но члены группы рассылки смогут просматривать только членов группы, которые находятся в пределах своей организации.
Сценарий 3. Учебные заведения
Этот сценарий применим к школам или университетам, где для обеспечения конфиденциальности учащихся необходимо разделение классов. Сценарий для образовательных учреждений имеет следующие характеристики:
- Учащиеся в каждом классе могут видеть только других учащихся своего класса, своего преподавателя и директора.
- Преподаватели могут только учащиеся в своих классах.
- Преподаватели могут видеть всех остальных учителей и директора.
- Группы рассылки создаются для родителей каждого класса и преподавателей.
Students_ClassA | Teachers_ClassA | Principal | |
---|---|---|---|
Списки адресов | AL_ClassAAL_Principal | AL_ClassAAL_AllTeachersAL_AllGroupsAL_Principal | AL_ClassA AL_ClassB AL_AllTeachers AL_AllStudents AL_AllGroups |
Глобальный список адресов | GAL_StudentsClassA | GAL_TeachersClassA | GAL_Everyone |
Список адресов помещений | AL_BlankRoom | AL_BlankRoom | Все комнаты по умолчанию |
Автономная адресная книга | OAB_StudentsClassA | OAB_TeachersClassA | Автономная адресная адресная адрес |
Рекомендации и рекомендации
При использовании ASP в организации учитывайте следующее:
Для правильной работы ASP почтовый ящик пользователя, к которому применяется ABP, должен находиться на сервере Exchange 2010 с пакетом обновления 3 (SP3) или Exchange 2013.
Не запускайте роль сервера клиентского доступа Exchange 2010 на сервере глобального каталога. Это приводит к использованию Active Directory для интерфейса поставщика служб имен (NSPI) вместо службы адресной книги Microsoft Exchange. Роли сервера Exchange 2013 можно запустить на сервере глобального каталога и настроить правильную работу ASP, однако не рекомендуется устанавливать Exchange на контроллере домена.
Нельзя одновременно использовать иерархические адресные книги и политики адресных книг. Дополнительные сведения см. в разделе Иерархические адресные книги.
Любой пользователь, назначаемый ABP, должен существовать в своем собственном списке глобальных адресов.
Если клиентским приложениям разрешен доступ к Active Directory напрямую через LDAP, они будут обходить логику, встроенную в ASP. Так как Outlook для Mac 2011 и Entourage 2008 используют прямые запросы LDAP для доступа к Active Directory, эти клиентские приложения не будут правильно работать с ASP, если контроллер домена или сервер глобального каталога указан или предоставлен им службой автообнаружения. Outlook для Mac 2011 может использовать EWS или локальную автономную адресную книгу для доступа к сведениям каталога. Однако если Outlook для Mac 2011 может напрямую получить доступ к службе LDAP, он попытается сделать это.
Глобальный список адресов, используемый в ABP, должен как минимум содержать все списки адресов, включая список адресов помещений, определенный и указанный в ABP. Не создавайте глобальный список адресов, содержащий меньше объектов, чем любой из списков адресов в том же ABP.
Рекомендуется создавать группы рассылки, которые не пересекают границы виртуальной организации. Создание групп рассылки, содержащих членов нескольких виртуальных организаций, приводит к следующим проблемам:
Если участники группы запрашивают доставку или считывают квитанции при отправке почты в группу рассылки, они смогут видеть адреса электронной почты участников группы в других виртуальных организациях.
Если в группу рассылки отправляется зашифрованное сообщение, а у некоторых участников группы нет действительных цифровых идентификаторов, отправитель получит предупреждающее сообщение, включающее общее число участников, у которых нет допустимых идентификаторов, и список их адресов электронной почты. Однако если некоторые из этих участников без допустимых цифровых идентификаторов находятся в организации, отличной от отправителя, в предупреждающем сообщении будет содержаться правильное число, но не будут содержаться адреса электронной почты участников в другой организации. В результате общее число адресов участников не будет соответствовать списку адресов участников.
Например, предположим, что группа рассылки состоит из пяти членов из двух организаций: Агентства А и Агентства Б. Три участника группы являются представителями агентства A, а один из них имеет недопустимый цифровой идентификатор. Два других члена являются представителями агентства B, и оба из них имеют недопустимые цифровые идентификаторы. Если участник из агентства A отправляет зашифрованное сообщение в группу рассылки, этот участник получит предупреждение о том, что в общей сложности три получателя без допустимых цифровых идентификаторов. Однако в предупреждающем сообщении будет указан только адрес электронной почты получателя от агентства A.
ABP не применяются к командлетам Get-Group . Таким образом, любой пользователь или процесс, который может запустить Get-Group , увидит всех участников любой группы, к которым у них есть доступ.
Рекомендуется изменить параметры управления группами параметров OWA, чтобы пользователи не могли использовать Outlook Web App для управления группами. Чтобы запретить пользователям использовать параметры OWA для управления группами, исключите пользователей из роли RBAC MyDistributionGroupMembership. Дополнительные сведения см. в разделе Роль MyDistributionGroupMembership.
Если пользователям разрешено использовать Outlook или Outlook Web App для управления группами, владельцы групп должны иметь полную видимость списка участников в группах.
Все политики адресных книг должны содержать список адресов помещений. Однако если в вашей организации не используются списки адресов комнат, можно создать список адресов по умолчанию.
Развертывание политик адресных книг не помешает пользователям одной виртуальной организации отправлять электронную почту пользователям другой виртуальной организации. Если вы хотите запретить пользователям отправлять электронную почту в организациях, рекомендуется создать правило транспорта. Например, чтобы создать правило транспорта, которое запрещает пользователям Contoso получать сообщения от пользователей Fabrikam, но по-прежнему позволяет группе старших руководителей Fabrikam отправлять сообщения пользователям Contoso, выполните следующую команду оболочки:
New-TransportRule -Name "StopFabrikamtoContosoMail" -FromMemberOf "AllFabrikamEmployees" -SentToMemberOf "AllContosoEmployees" -DeleteMessage -ExceptIfFrom seniorleadership@fabrikam.com
Если вы хотите применить функцию, аналогичную ABP, в клиенте
msRTCSIP-GroupingID
Lync можно задать атрибут для определенных объектов пользователя. Дополнительные сведения см. в разделе PartitionByOU, замененном msRTCSIP-GroupingID .
Общие действия по развертыванию
Миграция с сегментации списка адресов на АПП
Если в вашей организации настроено решение для разделения списков адресов Exchange 2007 на месте с помощью инструкций, описанных в техническом документе Настройка разделения виртуальных организаций и списков адресов в Exchange 2007, сначала следует перейти на Exchange Server 2010, выполнив действия, описанные в разделе Миграция на политики адресной книги Exchange Server 2010 из Exchange Server 2007 г. Разделение списка адресов. Эта процедура потребует некоторого простоя для вашей организации, поэтому вам потребуется планировать соответствующие действия.
Новое развертывание ASP
Если ваша организация развертывает ASP Exchange 2013 и не использует разделение списка адресов Exchange 2007, эти инструкции можно использовать для развертывания ASP в организации.
Действия, описанные в этом разделе, помогут вам выполнить сценарий 2. Две компании, совместно использующие генерального директора. В этом сценарии две компании (Fabrikam и Tailspin Toys) являются отдельными, но совместно используют команду генерального директора и высшего руководства.
Шаг 1. Установка и настройка агента маршрутизации политики адресной книги
Если вы используете ASP и не хотите, чтобы пользователи в отдельных виртуальных организациях просматривали потенциально частную информацию друг друга, можно включить агент маршрутизации политики адресной книги. Агент маршрутизации политики адресной книги — это агент транспорта, который выполняется на сервере почтовых ящиков, который управляет разрешением получателей в организации. Когда агент маршрутизации политики адресной книги установлен и настроен, пользователи, которым назначены разные общедоступные лицензии, отображаются как внешние получатели, так как они не могут просматривать карточки контактов внешних получателей.
Подробные инструкции см. в статье Установка и настройка агента маршрутизации политики адресной книги.
Шаг 2. Разделение виртуальных организаций
Вам потребуется разработать способ разделения организаций. Мы рекомендуем использовать свойство CustomAttribute1-15 в почтовых ящиках, контактах и группах вместо предварительно консервированных условных атрибутов, таких как Company, Department или StateOrProvince, чтобы разделить виртуальные организации по следующим причинам:
Не все типы объектов-получателей имеют предварительно заданные условные атрибуты в Active Directory. Например, группа рассылки и динамическая группа рассылки не поддерживают атрибуты компании, отдела или состояния.
Не все предканированные условные атрибуты предоставляются в командлетах для некоторых получателей. Например, параметры Company, Department и StateOrProvince недоступны в командлетах для почтовых пользователей, контактов, групп рассылки и общедоступных папок с поддержкой почты.
Для разделения получателей при использовании условного атрибута предварительно консервированного типа требуется несколько командлетов. Например, после выполнения командлетов New-Mailbox или Set-Mailbox необходимо выполнить Set-User, чтобы пометить название Company, Department, StateOrProvince для UserMailbox.
Параметры CustomAttributeX предоставляются в командлете Set-* для каждого типа получателя. Мы можем завершить разделение для этого типа с помощью одного командлета Set-
Атрибуты CustomAttributeX явно зарезервированы для настройки организации и полностью находятся под контролем администраторов организации.
Кроме того, рекомендуется использовать идентификаторы компании в именах групп рассылки и динамических групп рассылки. Exchange имеет функцию политики именования групп, которая автоматически добавляет суффикс или префикс к имени группы рассылки на основе многих атрибутов пользователя, создающего группу рассылки, включая создателя группы рассылки Company, StateorProvince, Title и CustomAttribute1 в CustomAttribute15. Политика именования групп особенно важна, если вы разрешаете пользователям создавать собственные группы рассылки. Дополнительные сведения см. в статье Создание политики именования групп рассылки.
Политики именования групп не применяются к динамическим группам рассылки, поэтому вам потребуется вручную разделить их и вручную применить политику именования.
Шаг 3. Создание списков адресов, общедоступных лицензий и AOB
При создании списков адресов и глобальных списков адресов не используйте параметры "IncludedRecipient" и "ConditionalX", такие как ConditionalCompany и ConditionalCustomAttribute5. Вместо этого следует использовать фильтр получателей. Для создания фильтров получателей необходимо использовать оболочку. Дополнительные сведения о фильтрах получателей см. в статье Фильтрация получателей на пограничных транспортных серверах.
При создании ABP вы создадите несколько списков адресов в зависимости от того, как пользователи должны просматривать списки адресов в Outlook или Outlook Web App. В этой организации есть четыре списка адресов:
AL_FAB_Users_DGs
AL_FAB_Contacts
AL_TAIL_Users_DGs
AL_TAIL_Contacts
В этом примере создается список адресов AL_TAIL_Users_DGs. Список адресов содержит всех пользователей и группы рассылки, где CustomAttribute15 равно TAIL.
New-AddressList -Name "AL_TAIL_Users_DGs" -RecipientFilter "((RecipientType -eq 'UserMailbox') -or (RecipientType -eq 'MailUniversalDistributionGroup') -or (RecipientType -eq 'DynamicDistributionGroup')) -and (CustomAttribute15 -eq 'TAIL')"
Дополнительные сведения о создании списков адресов с помощью фильтров получателей см. в статье Создание списка адресов с помощью фильтров получателей.
Чтобы создать ABP, необходимо указать список адресов помещений. Если в вашей организации нет почтовых ящиков ресурсов, таких как почтовые ящики помещений или оборудования, рекомендуется создать пустой список адресов помещений. В следующем примере создается пустой список адресов помещений, так как в организации нет почтовых ящиков комнат.
New-AddressList -Name AL_BlankRoom -RecipientFilter "(Alias -ne `$null) -and ((RecipientDisplayType -eq 'ConferenceRoomMailbox') -or (RecipientDisplayType -eq 'SyncedConferenceRoomMailbox'))"
Однако в этом сценарии у Fabrikam и Contoso есть почтовые ящики помещений. В этом примере создается список помещений для Fabrikam с помощью фильтра получателей, где CustomAttribute15 равно FAB.
New-AddressList -Name AL_FAB_Room -RecipientFilter "(Alias -ne `$null) -and (CustomAttribute15 -eq 'FAB') -and (RecipientDisplayType -eq 'ConferenceRoomMailbox') -or (RecipientDisplayType -eq 'SyncedConferenceRoomMailbox')"
Глобальный список адресов, используемый в ABP, должен быть надмножеством списков адресов. Не создавайте глобальный список адресов с меньшим количеством объектов, чем существует в любом или всех списках адресов в ABP. В этом примере создается глобальный список адресов для Tailspin Toys, включающий всех получателей, которые существуют в списках адресов и списке адресов комнат.
New-GlobalAddressList -Name "GAL_TAIL" -RecipientFilter "(CustomAttribute15 -eq 'TAIL')"
Дополнительные сведения см. в статье Создание глобального списка адресов.
При создании автономной адресной книги необходимо включить соответствующий глобальный список адресов при указании параметра AddressLists для new- или Set-OfflineAddressBook, чтобы запись не была неожиданно пропущена. В принципе, можно настроить набор записей, которые пользователь увидит, или уменьшить размер загрузки автономной адресной книги, указав список списков адресов в списке addressLists элемента New/Set-OfflineAddressBook. Однако если вы хотите, чтобы пользователи видели полный набор записей gal в автономной адресной книге, убедитесь, что вы включили глобальный список адресов в списки адресов.
В этом примере создается автономная адресная адрес OAB_FAB ная адрес
New-OfflineAddressBook -Name "OAB_FAB" -AddressLists "GAL_FAB"
Дополнительные сведения см. в статье Создание автономной адресной книги.
Шаг 4. Создание ASP
После создания всех необходимых объектов можно создать ABP. В этом примере создается ABP с именем ABP_TAIL.
New-AddressBookPolicy -Name "ABP_TAIL" -AddressLists "AL_TAIL_Users_DGs"," AL_TAIL_Contacts" -OfflineAddressBook "\OAB_TAIL" -GlobalAddressList "\GAL_TAIL" -RoomList "\AL_TAIL_Rooms"
Дополнительные сведения см. в статье Создание политики адресной книги.
Шаг 5. Назначение ASP почтовым ящикам
Назначение ABP пользователю является последним шагом в этом процессе. ASP вступают в силу, когда приложение пользователя подключается к службе адресной книги Microsoft Exchange на сервере клиентского доступа. Если пользователь уже подключен к Outlook или Outlook Web App, когда ABP применяется к его учетной записи, ей потребуется закрыть и перезапустить клиентское приложение, чтобы увидеть новые списки адресов и глобальный список адресов.
В этом примере ABP_FAB назначаются всем почтовым ящикам, где CustomAttribute15 имеет значение FAB.
Get-Mailbox -resultsize unlimited | where {$_.CustomAttribute15 -eq "TAIL"} | Set-Mailbox -AddressBookPolicy "ABP_TAIL"
Дополнительные сведения см. в статье Назначение политики адресной книги почтовым пользователям.