Общие сведения о политиках адресных книг
Применимо к: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Последнее изменение раздела: 2016-11-28
Сегментация глобального списка адресов (GAL) (также называемая сегрегацией глобального списка адресов) — это процесс, позволяющий администраторам разделять пользователей по отдельным группам и предоставлять им настроенные представления глобального списка адресов их организации. В MicrosoftExchange Server 2007 и более ранних версиях сегментация GAL была очень сложным процессом с обязательным использованием имен DN на основе запросов (которые служили корневыми узлами поиска в каталоге) или списков управления доступом (ACL) для разрешения или запрета доступа к каждому списку. Дополнительные сведения о настройке сегментации GAL в Exchange 2007 см. в статье Настройка виртуальных организаций и сегрегации списка адресов в Exchange 2007.
Чтобы упростить этот процесс, в MicrosoftExchange Server 2010 с пакетом обновления 2 (SP2) были добавлены политики адресных книг. При создании политики адресной книги ей назначается глобальный список адресов, автономная адресная книга, список помещений и один или несколько списков адресов. После этого политику адресной книги можно назначить пользователям почтовых ящиков, чтобы предоставить им доступ к настроенному глобальному списку адресов в приложениях Outlook и Outlook Web App. Целью этого является предоставление более простого механизма сегментации глобального списка адресов для локальных организаций, которым требуется несколько глобальных списков адресов.
Примечание. |
---|
Политики адресных книг предназначены для оптимизации глобального списка адресов для каждой из групп пользователей, а не для запрета просмотра сведений о других пользователях (как внутри группы, так и вне ее) в организации. Политики адресных книг создают только виртуальное, а не фактическое разделение пользователей. |
Важно! |
---|
Политики адресных книг недоступны в Office 365, поэтому при гибридном развертывании пользователям с облачными почтовыми ящиками будет видна вся адресная книга. |
Принципы работы политик адресных книг
Политики адресных книг содержат следующие списки:
один глобальный список адресов
одну автономную адресную книгу
один список помещений (для резервирования)
один или несколько списков адресов
На следующем рисунке политика адресной книги А состоит из подмножества различных объектов адресов, существующих в организации (показаны в нижней половине рисунка). Итоговая область действия политики адресной книги охватывает глобальный список адресов, указанный в политике, в данном случае GAL1. При создании политики адресной книги и назначения ее пользователю объекты адресов в политике становятся доступными для просмотра этому пользователю.
Назначать политики адресных книг отдельным пользователям почтовых ящиков можно следующими способами.
Новый или существующий почтовый ящик? | Командная консоль | Консоль управления Exchange |
---|---|---|
Создать |
Командлет New-Mailbox с указанием параметра AddressBookPolicy. |
Вкладка Параметры почтового ящика в мастере создания почтового ящика |
Существующий |
Командлет Set-Mailbox с указанием параметра AddressBookPolicy |
Вкладка Параметры почтового ящика на странице свойств почтового ящика |
Политики адресных книг вступают в силу, когда клиентское приложение пользователя подключается к службе адресных книг Microsoft Exchange на сервере клиентского доступа. Если изменить политику адресной книги, обновленная политика не вступит в силу, пока пользователь не перезапустит Outlook или Outlook Web Access или пока не будет перезапущена служба адресных книг Microsoft Exchange. Дополнительные сведения см. в разделе Общие сведения о службе адресной книги.
Entourage, Outlook для Mac и политики адресных книг
Политики адресных книг не будут работать для пользователей Entourage или Outlook для Mac, подключенных к сети организации. Внутри сети организации клиенты Entourage и Outlook для Mac подключаются напрямую к серверу глобального каталога и опрашивают непосредственно Служба каталогов Active Directory, а не используют службу адресных книг Microsoft Exchange. Однако клиенты Outlook для Mac 2011, подключающиеся из Интернета, могут использовать автономную адресную книгу или веб-службы Exchange (EWS). В результате эти клиенты могут просматривать глобальный список адресов в соответствии с назначенной политикой адресной книги. Дополнительные сведения об администрировании Outlook для Mac 2011 см. в статье Планирование для Outlook для Mac 2011.
Развертывание политик адресных книг
В этом разделе приведены сведения о развертывании политик адресных книг в организации с приведением рекомендаций, возможных сценариев и базовых пошаговых инструкций. Чтобы просмотреть все задачи управления политиками адресных книг, ознакомьтесь с разделом Управление политиками адресных книг.
Рекомендации
При настройке политик адресных книг в организации следует учитывать приведенные ниже факторы.
Чтобы политики адресных книг работали надлежащим образом, почтовый ящик пользователя, к которому применяется политика адресной книги, должен располагаться на сервере MicrosoftExchange Server 2010 с пакетом управления 2 (SP2).
Не используйте роль сервера клиентского доступа на сервере глобального каталога. Это приведет к использованию Служба каталогов Active Directory в качестве интерфейса NSPI, а не службы адресных книг Microsoft Exchange.
Невозможно одновременно использовать иерархические адресные книги и политики адресных книг. Для получения дополнительных сведений о иерархических адресных книгах см. раздел Общие сведения об иерархических адресных книгах.
Любой пользователь, к которому применяется политика адресной книги, должен содержаться в доступном ему глобальном списке адресов.
Если разрешить клиентским приложениям доступ напрямую к Служба каталогов Active Directory через LDAP, логика, встроенная в политики адресных книг, работать не будет. Так как Outlook 2011 и Entourage 2008 используют прямые LDAP-запросы к Служба каталогов Active Directory, эти клиентские приложения не будут работать надлежащим образом с политиками адресных книг, если служба автообнаружения предоставляет им контроллер домена или сервер глобального каталога. Outlook 2011 может использовать службы EWS или локальную автономную адресную книгу для доступа к данным каталога. Однако если Outlook 2011 может получить прямой доступ к службе LDAP, клиент начнет получать данные о контактах через нее.
Глобальный список адресов, используемый в политике адресной книги, должен, по меньшей мере, содержать все списки адресов, определенные и настроенные в политике адресной книги, включая список адресов помещений. Не создавайте глобальный список адресов, содержащий меньше объектов, чем любой из списков адресов, указанных в этой же политике адресной книги.
Рекомендуется создать группы рассылки, которые не выходят за пределы виртуальной организации. Создание групп рассылки, содержащих членов различных виртуальных организаций, приведет к возникновению следующих возможных проблем.
Если члены группы запрашивают отчет о доставке или прочтении при отправке сообщения группе рассылки, они смогут увидеть адреса электронной почты членов группы из других виртуальных организаций.
Если зашифрованное сообщение было отправлено в группу рассылки и некоторые члены группы не имеют действующих цифровых удостоверений, отправитель получит предупреждение, в котором будет указано общее число участников, не имеющих действующие удостоверения, а также список их адресов электронной почты. Однако если некоторые члены с допустимыми цифровыми удостоверениями находятся в другой организации (с точки зрения отправителя), в предупреждение будет включено верное число участников, но будут отсутствовать адреса электронной почты членов из другой организации. В результате общее число не будет совпадать с адресами из списка членов.
Предположим, группа рассылки состоит из пяти членов из двух организаций: агентства А и агентства Б. Три члена — из агентства А, и у одного из них недопустимое цифровое удостоверение. Два других члена — из агентства Б, и у обоих допустимые удостоверения. Если человек из агентства А отправляет зашифрованное сообщение в группу рассылки, он получит предупреждение, в котором говорится, что у трех получателей недопустимые цифровые удостоверения. Однако в этом предупреждении будет указан только один адрес электронной почты получателя из агентства А.
Политики адресных книг не применяются к командлетам Get-Group. Поэтому любой пользователь или процесс, имеющий право на выполнение Get-Group, сможет увидеть всех членов любой группы, к которой у него имеется доступ.
Рекомендуется изменить параметры управления группами в панели управления Exchange, чтобы пользователи не могли использовать эту панель для управления группами. Чтобы не дать пользователям управлять группами с помощью панели управления Exchange, исключите этих пользователей из роли RBAC MyDistributionGroupMembership. Дополнительные сведения см. в разделах Роль Членство_в_моей_группе_рассылки и Отключение возможности создания групп рассылки для пользователя.
Если пользователям разрешено применять Outlook или Outlook Web App для управления группами, у владельцев групп должен быть доступ к списку членов группы.
Все политики адресных книг должны содержать список адресов помещений. Однако если в организации не используются списки адресов помещений, можно создать пустой список адресов помещений по умолчанию.
Развертывание политик адресных книг не препятствует пользователям в одной виртуальной организации отправлять электронную почту пользователям в другой виртуальной организации. Если необходимо запретить пользователям отправлять сообщения электронной почты между организациями, рекомендуется создать правило транспорта. Например, чтобы создать правило транспорта, препятствующее получению пользователями домена Contoso сообщений от пользователей домена Fabrikam, но разрешающее руководству домена Fabrikam отправлять сообщения пользователям Contoso, выполните следующую команду в командной консоли:
New-TransportRule -Name "StopFabrikamtoContosoMail" -FromMemberOf "AllFabrikamEmployees" -SentToMemberOf "AllContosoEmployees" -DeleteMessage -ExceptIfFrom seniorleadership@fabrikam.com
Дополнительные сведения см. в разделе Создание правила транспорта.
Если необходимо использовать политику адресной книги в клиенте Lync, следует задать атрибут
msRTCSIP-GroupingID
для нужных объектов пользователей. Подробные сведения см. в разделе Замена PartitionByOU на msRTCSIP-GroupingID.
Сценарии развертывания
В приведенных ниже трех сценариях описаны возможные решения развертывания для трех различных типов организаций. Несмотря на большее количество возможных сценариев здесь освещены самые распространенные из них. Списки адресов и глобальные списки адресов в этих сценариях были созданы на основе фильтров, таких как «Пользовательские атрибуты», которые служат для логического группирования объектов.
Сценарий 1. Две отдельные компании — одна организация Exchange
Этот сценарий применим к компаниям, которые имеют отдельные агентства, филиалы или подразделения:
существуют в рамках одной и той же организации Exchange;
не имеют общих сотрудников.
не имеют общую цепочку отчетности.
Кроме того, агентства, подразделения или отделы не имеют особых потребностей в сферах безопасности или конфиденциальности.
В этом случае создаются две политики адресных книг со следующими параметрами:
Сотрудники, которые просматривают глобальный список адресов или членов группы рассылки, могут видеть только получателей в своей компании.
Отсутствуют группы рассылок, в которые включены пользователи сразу из двух компаний.
В следующей таблице приведены списки адресов, глобальные списки адресов, списки помещений и автономные адресные книги, включенные в политики адресных книг компаний Contoso и Humongous Insurance. Компоненты политики адресной книги были созданы с помощью параметра CustomAttribute15 для группирования объектов. Так как две компании отделены друг от друга и взаимодействие между ними отсутствует, у них нет общих списков адресов.
Компонент политики адресной книги |
Contoso |
Humongous Insurance |
Списки адресов |
AL_CON_Groups AL_CON_Users_DGs AL_CON_Contacts |
AL_HI_Groups AL_HI_Users_DGs AL_HI_Contacts |
Глобальный список адресов |
GAL_CON |
GAL_HI |
Список помещений |
AL_CON_Rooms |
AL_HI_Rooms |
OAB |
OAB_CON |
OAB_HI |
Сценарий 2. Две компании, один исполнительный директор
Этот сценарий применим к компаниям, которые:
существуют в рамках одной и той же организации Exchange;
имеют одного исполнительного директора;
не имеют общих сотрудников.
В этом сценарии создаются три политики адресных книг со следующими параметрами.
Сотрудники, которые просматривают глобальный список адресов или членов группы рассылки, могут видеть только получателей в своей компании.
В каждой компании имеется группа рассылки с именем SeniorLeaders, в которую включены руководители высшего звена компании и общий исполнительный директор.
Сотрудники, которые просматривают членов группы исполнительного директора, видят только группы в своей компании.
Создаются три политики адресных книг: Fabrikam, Tailspin Toys и CEO.
Компонент политики адресной книги |
Fabrikam |
Tailspin Toys |
Исполнительный директор |
Списки адресов |
AL_FAB_Users_DGs AL_FAB_Contacts |
AL_TAIL_Users_DGs AL_TAIL_Contacts |
AL_FAB_Users_DGs AL_FAB_Contacts AL_TAIL_Users_DGs AL_TAIL_Contacts |
Глобальный список адресов |
GAL_FAB |
GAL_TAIL |
Default GAL (список по умолчанию) |
Список помещений |
AL_FAB_Rooms |
AL_TAIL_Rooms |
Default All Rooms (Все помещения, список по умолчанию) |
OAB |
OAB_FAB |
OAB_TAIL |
Автономная адресная книга по умолчанию |
Если исполнительный директор добавлен в группы рассылки каждой компании и находится в области действия каждой политики адресной книги компании, то он становится виден в каждой компании. Исполнительный директор виден в глобальных адресных списках Fabrikam и Tailspin Toys и может создавать группы рассылки, которые распространяются на обе компании. Однако члены группы рассылки могут просматривать только членов, находящихся в той же компании.
Сценарий 3. Образование
Этот сценарий применим к школам или университетам, где разделение по классам или курсам необходимо для обеспечения конфиденциальности учащихся.
В этом сценарии создаются политики адресных книг со следующими параметрами.
Учащиеся могут видеть только других учащихся в своем классе, своего преподавателя и директора.
Преподаватели могут видеть только учащихся в своем классе, всех преподавателей и директора.
Группы рассылки создаются для родителей и преподавательского состава, имеющих отношение к каждому классу.
|
Students_ClassA |
Teachers_ClassA |
Директор |
Списки адресов |
AL_ClassA AL_Principal |
AL_ClassA AL_AllTeachers AL_AllGroups AL_Principal |
AL_ClassA AL_ClassB AL_AllTeachers AL_AllStudents AL_AllGroups |
Глобальный список адресов |
GAL_StudentsClassA |
GAL_TeachersClassA |
GAL_Everyone |
Список адресов помещений |
AL_BlankRoom |
AL_BlankRoom |
Default All Rooms (Все помещения, список по умолчанию) |
Автономная адресная книга |
OAB_StudentsClassA |
OAB_TeachersClassA |
Автономная адресная книга по умолчанию |
Общие шаги по развертыванию
В этом разделе приведены общие шаги по развертыванию политик адресных книг в организации, включая миграцию с сегментации списка адресов в Exchange 2007.
Миграция с сегментации списка адресов на политики адресных книг
Если в настоящее время вы используете сегментацию списка адресов Exchange 2007 (в соответствии с инструкциями, приведенными в техническом документе Настройка виртуальных организаций и сегрегации списка адресов в Exchange 2007) и хотите перейти на использование политик адресных книг, выполните действия, приведенные в разделе Перейти на Exchange 2010 с Exchange 2007 политики адресной книги разделение списка адресов. Эта процедура приведет к некоторому простою организации Exchange, поэтому ее следует тщательно спланировать.
Новое развертывание политик адресных книг
Если вы не используете сегментацию списка адресов в Exchange 2007, выполните действия, приведенные в этом разделе, чтобы развернуть в организации политики адресных книг.
Представленные ниже действия применимы к следующему сценарию: Сценарий 2. Две компании, один исполнительный директор. В этом сценарии компании Fabrikam и Tailspin Toys являются отдельными компаниями, у которых общий исполнительный директор и все высшее руководство. В этом сценарии требуются три политики адресных книг:
ABP_FAB
ABP_TAIL
ABP_CEO
Шаг 1. Разделение виртуальных организаций
Необходимо разработать способ разделения организации на виртуальные организации. При создании такого разделения рекомендуется использовать свойства пользовательских атрибутов в почтовых ящиках, контактах и группах, а не задействовать предварительно заданные условные атрибуты (такие как Компания, Отдел или Область). Использование пользовательских атрибутов вместо предварительно определенных имеет следующие преимущества.
Не все типы получателей имеют предварительно заданные условные атрибуты в Служба каталогов Active Directory. Например, объект Служба каталогов Active DirectoryГруппа рассылки и Динамическая группа рассылки не поддерживает атрибуты Компания, Отдел и Область.
Не все предустановленные условные атрибуты представлены в командлетах, относящихся ко всем получателям. Например, параметры Company, Department и StateOrProvince недоступны в командлетах для почтовых пользователей, контактов, списков рассылки и общедоступных папок с включенной поддержкой почты.
Для сегментации получателей при использовании предопределенных условных атрибутов необходимо использовать несколько командлетов. Например, чтобы задать параметры Company, Department или StateOrProvince для почтового ящика пользователя, необходимо использовать командлет Set-User после выполнения командлетов New-Mailbox или Set-Mailbox.
Однако параметры CustomAttribute предоставляются в командлетах Set-* для каждого типа получателей, поэтому нет необходимости также запускать командлет Set-User.
Свойства пользовательских атрибутов явным образом зарезервированы для настройки организации и целиком управляются администраторами организации.
Дополнительные сведения о пользовательских атрибутах см. в разделе Общие сведения о настраиваемых атрибутах.
Кроме того, при разделении организации также рекомендуется использовать идентификаторы компаний в именах групп рассылки и динамических групп рассылки. Одним из методов реализации этого является использование политик именования групп. Эти политики позволяют указать префикс и суффикс, которые будут применяться ко всем именам групп рассылки. Это полезно при разделении организации, так как эти политики можно использовать для указания суффикса или префикса на основе атрибутов пользователя, таких как создатель свойств атрибутов группы рассылки Компания, Область, Отдел и свойств пользовательских атрибутов. Это особенно важно, если разрешить пользователям создавать собственные группы рассылки. Дополнительные сведения см. в статье Создание политики именования групп рассылки.
Примечание. |
---|
Так как политики именования групп не применяются к динамическим группам рассылки, необходимо вручную применить политику именования. |
Шаг 2. Создание списков адресов, списка помещений, глобальных списков адресов и автономных адресных книг
При создании списков адресов и глобальных списков адресов не используйте параметры IncludedRecipient и ConditionalX, такие как ConditionalCompany и ConditionalCustomAttribute5. Вместо этого рекомендуется использовать фильтры получателей. Дополнительные сведения о фильтрах получателей см. в разделе Создание фильтров в командах получателя.
Примечание. |
---|
Во всех процедурах этого раздела используются команды командной консоли, так как невозможно использовать консоль управления Exchange для создания фильтров получателей. |
Создание списков адресов
При создании политики адресной книги следует включить несколько списков адресов (в зависимости от необходимости просмотра пользователями этих списков в Outlook или Outlook Web App). В этом сценарии необходимо создать четыре списка адресов:
AL_FAB_Users_DGs
AL_FAB_Contacts
AL_TAIL_Users_DGs
AL_TAIL_Contacts
В этом примере создается список адресов AL_TAIL_Users_DGs. Этот список адресов содержит всех пользователей и группы рассылки, у которых значение атрибута CustomAttribute15 равно TAIL
.
New-AddressList -Name "AL_TAIL_Users_DGs" -RecipientFilter {((RecipientType -eq 'UserMailbox') -or (RecipientType -eq "MailUniversalDistributionGroup") -or (RecipientType -eq "DynamicDistributionGroup") -and (CustomAttribute15 -eq "TAIL"))}
Таким образом, приведенная выше команда будет выполнена для создания оставшихся списков адресов: AL_FAB_Users_DGs, AL_FAB_Contacts и AL_TAIL_Contacts.
Дополнительные сведения о синтаксисе и параметрах см. в разделе New-AddressList.
Дополнительные сведения о создании списков адресов с помощью фильтров получателей см. в разделе Создание списка адресов с помощью фильтров получателей.
Создание списков помещений
В этом сценарии требуются три списка помещений:
AL_FAB_Rooms
AL_TAIL_Rooms
Default All Rooms (создан по умолчанию)
Политики адресных книг должны содержать список адресов помещений. Если в организации не используются почтовые ящики ресурсов (такие как почтовые ящики конференц-залов или оборудования), рекомендуется создать пустой список помещений. В следующем примере создается пустой список помещений, AL_BlankRoom.
New-AddressList -Name AL_BlankRoom -RecipientFilter ((Alias -ne $null) -and ((RecipientDisplayType -eq 'ConferenceRoomMailbox') -or (RecipientDisplayType -eq 'SyncedConferenceRoomMailbox')))
Однако в этом сценарии и Fabrikam, и Tailspin Toys имеют почтовые ящики конференц-залов. В этом примере создается список помещений для компании Tailspin Toys с использованием фильтра получателей, где значение CustomAttribute15 равняется TAIL
.
New-AddressList -Name AL_TAIL_Rooms -RecipientFilter {(Alias -ne $null) -and (CustomAttribute15 -eq "TAIL")-and (RecipientDisplayType -eq 'ConferenceRoomMailbox') -or (RecipientDisplayType -eq 'SyncedConferenceRoomMailbox')}
Таким образом, приведенная выше команда будет выполнена для создания списка помещений для компании Fabrikam (AL_FAB_Rooms).
Дополнительные сведения о синтаксисе и параметрах см. в разделе New-AddressList.
Создание глобальных списков адресов
В этом сценарии требуются три глобальных списка адресов:
GAL_FAB
GAL_TAIL
Default GAL (создается по умолчанию)
Глобальный список адресов, используемый в политике адресной книги, должен объединять в себе другие списки адресов. Не создавайте глобальный список адресов, содержащий меньше объектов, чем любой из списков адресов в той же политике адресной книги.
В этом примере создается глобальный список адресов для Tailspin Toys. В него включены все получатели, которые присутствуют в списках адресов и списке помещений.
New-GlobalAddressList -Name "GAL_TAIL" -RecipientFilter {(CustomAttribute15 -eq "TAIL")}
Таким образом, приведенная выше команда будет выполнена для создания глобального списка адресов для компании Fabrikam (GAL_FAB).
Дополнительные сведения о синтаксисе и параметрах см. в разделе New-GlobalAddressList.
Создание автономных адресных книг
В этом сценарии требуются три глобальных списка адресов:
OAB_FAB
OAB_TAIL
Default OAB (создается по умолчанию)
При использовании командлетов New-OfflineAddressBook или Set-OfflineAddressBook для создания автономной адресной книги включите в параметр AddressLists нужные списки адресов или глобальный список адресов, чтобы не пропустить ни одну из нужных записей. Например, если следует настроить набор списков, которые будут доступны пользователю при просмотре автономной адресной книги, или просто необходимо уменьшить размер загружаемой автономной адресной книги, можно использовать параметр AddressLists для указания списков адресов, доступных в автономной адресной книге. Однако если пользователи должны видеть в автономной адресной книге все записи глобального списка адресов, убедитесь, что в параметре AddressLists указан глобальный список адресов.
В этом примере создается автономная адресная книга для компании Tailspin Toys. В автономную адресную книгу включается весь глобальный список адресов (GAL_TAIL).
New-OfflineAddressBook -Name "OAB_TAIL" -AddressLists "GAL_TAIL"
Таким образом, приведенная выше команда будет выполнена для создания автономной адресной книги для компании Fabrikam (OAB_FAB).
Дополнительные сведения о синтаксисе и параметрах см. в разделе New-OfflineAddressBook.
Шаг 3. Создание политик адресных книг
После создания всех нужных списков можно создать политики адресных книг.
В этом примере создается политика адресной книги для компании Tailspin Toys.
New-AddressBookPolicy -Name "ABP_TAIL" -AddressLists "AL_TAIL_Users_DGs","AL_TAIL_Contacts" -OfflineAddressBook "\OAB_TAIL" -GlobalAddressList "\GAL_TAIL" -RoomList "\AL_TAIL_Rooms"
Приведенную выше команду можно использовать для создания политик адресных книг для компании Fabrikam (ABP_FAB) и исполнительного директора организации (ABP_CEO).
Дополнительные сведения о синтаксисе и параметрах см. в разделе New-AddressBookPolicy.
Шаг 4. Назначение политик адресных книг почтовым ящикам
Назначение политик адресных книг пользователям является последним действием в рамках этой процедуры. Политики адресных книг вступают в силу, когда приложение пользователя подключается к службе адресных книг Microsoft Exchange на сервере клиентского доступа. Если пользователь уже подключен к Outlook или Outlook Web App при применении политики адресной книги к его учетной записи, ему следует закрыть клиентское приложение и перезапустить его, чтобы увидеть новые списки адресов и глобальный список адресов.
В этом примере политика адресной книги ABP_TAIL назначается всем почтовым ящикам, у которых значение атрибута CustomAttribute15 равняется TAIL
.
Get-Mailbox -resultsize unlimited | where {$_.CustomAttribute15 -eq "TAIL"}| Set-Mailbox -AddressBookPolicy "ABP_TAIL"
Дополнительные сведения см. в разделе Назначение политики адресной книги почтовому пользователю.
© Корпорация Майкрософт (Microsoft Corporation), 2010. Все права защищены.