Обеспечение безопасности шаблонов получателей
Применимо к: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Последнее изменение раздела: 2007-03-26
В сервере Microsoft Exchange Server 2007 имеющийся получатель может использоваться в качестве шаблона. Это позволяет согласованно управлять получателями без явного указания всех параметров конфигурации. Шаблонами при создании получателей могут быть как имеющиеся получатели, так и специально разработанные для этого получатели. Получатель, используемый исключительно в качестве шаблона для создания получателей, называется шаблоном получателей.
Шаблон получателей не сопоставлен с реальным человеком, ресурсом или группой. Таким образом, шаблоны получателей следует защищать для сведения к минимуму риска, связанного с использованием универсальной учетной записи. Это особенно важно в случае шаблонов почтовых ящиков и пользователей почты, потому что они имеют учетные данные для входа в службу каталогов Active Directory и могут быть использованы для несанкционированного доступа к ресурсам организации, если они плохо защищены.
В данном разделе объясняется, как с помощью оснастки «Active Directory — пользователи и компьютеры» и консоли управления Exchange или командной консоли Exchange обеспечить безопасность шаблонов получателей.
Предварительная подготовка
Для выполнения описанных ниже действий используемой учетной записи необходимо делегировать следующие роли:
роль администратора получателей Exchange;
роль оператора учета для соответствующих контейнеров Active Directory.
Дополнительные сведения о разрешениях, делегировании ролей и правах, необходимых для администрирования сервера Exchange 2007, см. в разделе Вопросы, связанные с разрешениями.
Порядок действий
Процедура обеспечения безопасности шаблона получателей одинакова для всех получателей. Однако для получателей, имеющих учетные данные для входа в Active Directory, таких как почтовые ящики и пользователи почты, необходимо выполнить некоторые дополнительные действия. Этот раздел включает два подраздела:
Обеспечение безопасности шаблонов почтовых ящиков и пользователей почты
Обеспечение безопасности шаблонов групп рассылки, динамических групп рассылки и почтовых контактов
Обеспечение безопасности шаблонов почтовых ящиков и пользователей почты
Шаблоны почтовых ящиков и пользователей почты обладают учетными данными для входа в Active Directory и могут получать доступ к ресурсам при наличии соответствующих разрешений. Таким образом, необходимо убедиться, что соответствующая пользовательская учетная запись шаблона почтовых ящиков или пользователей почты никогда не используется для доступа к ресурсам.
Примечание. |
---|
Хотя ниже описано обеспечение безопасности шаблона почтовых ящиков, эта же процедура может быть применена и для защиты шаблона пользователей почты. |
Для обеспечения безопасности шаблонов почтовых ящиков и пользователей почты следует выполнить как минимум описанные ниже действия.
Защита шаблона почтовых ящиков с помощью оснастки «Active Directory — пользователи и компьютеры»
Запустите оснастку «Active Directory — пользователи и компьютеры».
В дереве консоли выберите подразделение, к которому относится учетная запись пользователя шаблона почтового ящика.
В области сведений щелкните правой кнопкой мыши учетную запись, связанную с шаблоном почтовых ящиков, и выберите пункт Отключить учетную запись. Это не позволит использовать данную учетную запись для входа в Active Directory.
Щелкните правой кнопкой мыши только что отключенную учетную запись пользователя и выберите пункт Свойства.
В окне <Почтовый ящик> Свойства на вкладке Член нажмите кнопку Добавить, чтобы открыть диалоговое окно Выбор групп.
В поле Введите имена выбираемых объектов введите Шаблоны учетных записей и щелкните пункт Проверить имена.
Нажмите кнопку ОК, чтобы закрыть диалоговое окно Выбор групп.
На вкладке Член щелкните группу Шаблоны учетных записей и выполните команду Задать основную группу.
Выберите группу Пользователи домена и нажмите кнопку Удалить. Это предотвращает получение данной учетной записью доступа к сетевым ресурсам.
Важно! Если пользователь шаблона является членом только группы безопасности «Пользователи домена», аннулировать его членство в ней не удастся, потому что это основная группа безопасности для данного пользователя. В Active Directory каждый пользователь должен быть членом хотя бы одной группы безопасности. Таким образом, для всех учетных записей пользователей, которые используются в качестве шаблонов, следует создать специальную группу безопасности, которая будет для них основной группой безопасности. Использовать эту группу для назначения разрешений нельзя. Подробные инструкции по обеспечению безопасности групп см. в статье Обеспечение безопасности административных групп и учетных записей Active Directory (на английском языке). В описываемой процедуре предполагается, что в качестве основной группы безопасности уже создана группа Шаблоны учетных записей. Нажмите кнопку ОК.
Для защиты шаблонов почтовых ящиков или пользователей почты рекомендуется также выполнить дополнительные действия, описанные ниже. Однако следует иметь в виду, что параметры конфигурации, изменяемые при выполнении этих действий, назначаются всем новым получателям, создаваемым с помощью соответствующего шаблона. Поэтому после выполнения указанных действий необходимо восстановить эти параметры для любых новых получателей, создаваемых с помощью данного шаблона.
Выполнение дополнительных действий по обеспечению безопасности шаблона почтовых ящиков с помощью консоли управления Exchange
Запустите консоль управления Exchange.
В дереве консоли щелкните узел Конфигурация получателя.
В области результатов щелкните правой кнопкой мыши шаблон почтовых ящиков и выберите пункт Свойства.
В окне <Шаблон почтовых ящиков> Свойства на вкладке Общие установите флажок Скрыть из списков адресов Exchange. Это предотвратит появление шаблона почтовых ящиков или пользователей почты в глобальном списке адресов или других списках адресов Exchange.
В окне <Шаблон почтовых ящиков> Свойства на вкладке Параметры потока почты задайте параметр Ограничения размера сообщений и щелкните пункт Свойства.
В окне Ограничения размера сообщений установите флажок Максимальный размер сообщения (КБ) для элемента Размер получаемых сообщений. Введите в текстовом поле значение 0. Поскольку наблюдение за шаблонами получателей не ведется, это действие гарантирует, что шаблон почтовых ящиков не будет получать сообщения электронной почты.
Нажмите кнопку ОК.
Нажмите кнопку ОК.
Выполнение дополнительных действий по обеспечению безопасности шаблона почтовых ящиков с помощью командной консоли Exchange
Чтобы принять дополнительные меры по обеспечению безопасности шаблона почтовых ящиков «Template Mailbox», выполните следующую команду (в случае пользователя почты воспользуйтесь командлетом Set-MailUser с такими же параметрами):
Set-Mailbox -Identity "Template Mailbox" -HiddenFromAddressListsEnabled $true -MaxReceiveSize 0KB
Чтобы сбросить эти дополнительные параметры для новых почтовых ящиков или пользователей почты, создаваемых с помощью защищенного шаблона получателей, можно повторить описанные выше действия и отменить изменения. Однако функция конвейеризации, поддерживаемая командной консолью Exchange, позволяет создать получателя и сбросить эти параметры одной строкой кода. В приведенном ниже примере это выполняется для почтового ящика. В случае пользователя почты эта процедура аналогична, только необходимо использовать командлеты Get-MailUser, New-MailUser и Set-MailUser.
Создание почтового ящика с использованием шаблона получателей и сброс дополнительных конфигурационных параметров, заданных для защиты шаблона почтовых ящиков, с помощью командной консоли Exchange
Чтобы создать почтовый ящик для пользователя John Smith с помощью шаблона почтовых ящиков «Template Mailbox», выполните следующие команды (результат выполнения командлета New-Mailbox передается по конвейеру командлету Set-Mailbox для сброса дополнительных конфигурационных параметров, заданных для защиты шаблона почтовых ящиков):
$Temp = Get-Mailbox "Template Mailbox" New-Mailbox -Name "John Smith" -UserPrincipalName "jsmith@contoso.com" -OrganizationalUnit "contoso.com/Users" -Database "Server01\Mailbox Database" -TemplateInstance $Temp | Set-Mailbox -HiddenFromAddressListsEnabled $false -MaxReceiveSize unlimited
При появлении соответствующего запроса введите пароль для нового почтового ящика.
Подробные сведения о синтаксисе и параметрах см. в следующих разделах справки:
Обеспечение безопасности шаблонов групп рассылки, динамических групп рассылки и почтовых контактов
Описанную ниже процедуру рекомендуется использовать для защиты шаблонов групп рассылки, динамических групп рассылки и почтовых контактов. Однако следует иметь в виду, что параметры конфигурации, изменяемые при выполнении этих действий, назначаются всем новым получателям, создаваемым с помощью соответствующего шаблона. Поэтому после выполнения указанных действий необходимо восстановить эти параметры для любых новых получателей, создаваемых с помощью данного шаблона.
Важно! |
---|
Никогда не используйте универсальную группу безопасности в качестве шаблона групп рассылки. Универсальные группы безопасности в Active Directory позволяют предоставлять права доступа к ресурсам. Использование группы, владеющей участником безопасности в Active Directory, в качестве шаблона групп рассылки ставит под угрозу безопасность системы, потому что для любых новых групп рассылки необходимо указывать тип группы рассылки. |
Примечание. |
---|
Хотя ниже описано обеспечение безопасности шаблона почтовых контактов, эта же процедура может быть применена и для защиты шаблона групп рассылки или динамических групп рассылки. |
Обеспечение безопасности шаблона почтовых контактов с помощью консоли управления Exchange
Запустите консоль управления Exchange.
В дереве консоли щелкните узел Конфигурация получателя.
В области результатов щелкните правой кнопкой мыши шаблон почтовых контактов и выберите пункт Свойства.
В окне <Шаблон почтовых контактов> Свойства на вкладке Общие установите флажок Скрыть из списков адресов Exchange. Это предотвратит появление шаблона почтовых контактов в глобальном списке адресов или других списках адресов Exchange.
В окне <Шаблон почтовых контактов> Свойства на вкладке Параметры потока почты задайте параметр Ограничения размера сообщений и щелкните пункт Свойства.
В окне Ограничения размера сообщений установите флажок Максимальный размер сообщения (КБ) для элемента Размер получаемых сообщений. Введите в текстовом поле значение 0. Поскольку наблюдение за шаблонами получателей не ведется, это действие гарантирует, что шаблон почтовых контактов не будет получать сообщения электронной почты.
Нажмите кнопку ОК.
Нажмите кнопку ОК.
Обеспечение безопасности шаблона почтовых контактов с помощью командной консоли Exchange
Чтобы принять дополнительные меры по обеспечению безопасности шаблона почтовых контактов «Template Mail Contact», выполните следующую команду (в случае группы рассылки воспользуйтесь командлетом Set-DistributionGroup, а в случае динамической группы рассылки — командлетом Set-DynamicDistributionGroup с такими же параметрами):
Set-MailContact -Identity "Template Mail Contact" -HiddenFromAddressListsEnabled $true -MaxReceiveSize 0KB
Чтобы сбросить эти дополнительные параметры для получателей, создаваемых с помощью защищенного шаблона получателей, можно повторить описанные выше действия, возвращая параметры в прежнее состояние. Однако функция конвейеризации, поддерживаемая командной консолью Exchange, позволяет создать получателя и сбросить эти параметры одной строкой кода. В приведенном ниже примере это выполняется для почтового контакта. Для группы рассылки и динамической группы рассылки этот процесс одинаков, только в первом случае необходимо использовать командлеты Get-DistributionGroup, New-DistributionGroup и Set-DistributionGroup, а во втором — командлеты Get-DynamicDistributionGroup, New-DynamicDistributionGroup и Set-DynamicDistributionGroup.
Создание почтового контакта с использованием шаблона получателей и сброс дополнительных конфигурационных параметров, заданных для защиты шаблона почтовых контактов, с помощью командной консоли Exchange
Чтобы создать почтовый контакт для пользователя John Smith с помощью шаблона почтовых контактов «Template Mail Contact», выполните следующие команды (результат выполнения командлета New-MailContact передается по конвейеру командлету Set-MailContact для сброса дополнительных конфигурационных параметров, заданных для защиты шаблона почтовых контактов):
$Temp = Get-MailContact "Template Mail Contact" New-MailContact -Name "John Smith" -UserPrincipalName "jsmith@contoso.com" -OrganizationalUnit "contoso.com/Users" -Database "Server01\Mailbox Database" -TemplateInstance $Temp | Set-MailContact -HiddenFromAddressListsEnabled $false -MaxReceiveSize unlimited
Подробные сведения о синтаксисе и параметрах см. в следующих разделах справки:
Дополнительные сведения
Подробные инструкции по созданию получателей с помощью шаблонов получателей см. в разделе Использование шаблонов для создания получателей.
Дополнительные сведения о получателях см. в разделе Общие сведения о получателях.
Дополнительные сведения о конвейеризации в командной консоли Exchange см. в разделе Конвейеризация.
Дополнительные сведения об интерфейсах управления в сервере Exchange 2007 см. в разделе Интерфейсы управления.