E2K7 14 Permissions and Recipient Management

1、管理员权限和收件人管理管理员权限和收件人管理 第二页 议程议程 当前面临的挑战 管理员权限模式 收件人管理核心概念 管理收件人 第三页 当前面临的挑战当前面临的挑战 目录服务（ Active Directory）管理员和Exchange管理员 之间不能有效隔离 拆分权限模型很难实现，并且在邮箱外面不能执行 Automating user management and provisioning is difficult 自动管理和添加用户比较困难 收件人自动更新服务像黑盒子一样，并且是不确定的 第四页 管理权限模型管理权限模型 更加颗粒化的权限委派 邮箱外 收件人管理 支持拆分权限 单个服务器（

2、Per-Server）管理模式 (需要本地管理员权限) 结合通用安全群组使用，相当于多个角色，和Windows内置角色类似 简化权限委派 只需在安全群组中添加一个用户即可 减少访问控制列表（ACL）创建和维护复杂性 与 Exchange 2003的授权相同, 管理对像和属性的权限是基于当前用户 的令牌（token) (包括：图形用户界面（GUI）和命令行管理程序 （Shell）) 新特性 第五页 管理权限模型管理权限模型 全局数据 包含与服务器和收件人无关联的所有数据 位于活动目录配置中的命名上下文（ Naming Context）数据 复制到树中所有域控制器（DCs）和全局目录（GCs）的数

3、据 位于：ConfigurationServicesMicrosoft Exchange下的数据 例如:地址列表 服务器组件 包含服务器的专有数据 也包含位于活动目录配置中的命名上下文（ Naming Context）数据 位于：ConfigurationServicesMicrosoft Exchange.Servers目录下的数据 每一个服务器拥有的唯一实例 例如:存储群组和邮箱数据 收件人 包括所有可以收/发电子邮件的收件人对象 位于活动目录配置中的命名上下文（ Naming Context）数据 复制到所有域中专有的域控制器（DCs）和全局目录（GCs）的数据 典型位置:domaini

4、nstanceusers 例如:可以使用邮箱的用户和可以使用电子邮件的腹部是群组 管理角色和控制台导航树的数据体系结构图 数据体系结构 第六页 管理权限模型管理权限模型 设置并为每一个在根域树下的管理角色创建一个通用安全群组 通用安全群组可以移倒另一个域中，但对权限的委派没有影响 位于活动目录域命名上下文中（ Naming Context）的Microsoft Exchange 安 全群组容器 可以被移动到树（forest，不同于tree）中的任何地方 每一个通用安全群组的安全标识符（SID）被授权，可以更改Exchange对象和属性 的设置 尽可能最小化访问控制列表(ACL)标记 只需为安全

5、群组添加一个用户即可完成权限委派无需用户特定安全标识符 （Exchange对象和属性设置的标识符）的访问控制列表标记 与Exchange 2003 的任务委派模型共存，并能很好的工作 警告:必须将管理群组迁移到Exchange Sever管理员下 通用安全群组的使用 第七页 管理权限模型管理权限模型 Admin为收件人管理员添加Exchange专有活动目录属性设置 允许受时间管理员读/写能够使用邮箱或邮件的Active Directory用户、群组和联系方 式，无需任何权限委派 访问控制列表的创建和维护主要基于新的属性设置，而不是个别的属性 减少需求以降低访问控制条目（ACE）的数量，这样就可

6、以避免访问控制列表（ACL） 的膨胀 Exchange-信息属性设置 包括收件人的各种Exchange 属性，但不包括Exchange-个人信息属性设置的部分 Exchange- 个人信息属性设置 个人信息属性指的是只能被拥有者和管理员读取的Exchange属性 ms-Exch-Message-Hygiene-Flags; ms-Exch-Message-Hygiene-SCL-Delete-Threshold; ms-Exch-Message-Hygiene-SCL-Quarantine-Threshold; ms-Exch-Message-Hygiene- SCL-Reject-Thres

7、hold; ms-Exch-Safe-Recipients-Hash; ms-Exch-Safe-Senders-Hash; ms-Exch-UM-Pin-Checksum（这些属性将由 Exchange 管理工具填充和维护。请勿直 接修改这些属性） 属性设置 第八页 角色 角色角色范围范围权限权限 Exchange组织管理 全局数据 读/写/创建 服务器数据 读/写/创建 收件人数据 读/写 Exchange 只读管理员 全局数据 读 服务器数据 读 收件人数据 读 Exchange 服务器管理员 服务器数据读/写/创建 Exchange 收件人管理员*收件人数据 读/写 Windows 管

8、理员*收件人数据 读/写/创建 *默认情况下，Exchange收件人管理员不能创建活动目录用户、群组和联系对象，但是可以授权这些对象使 用邮箱或邮件 * Windows管理员可以创建活动目录用户、群组和联系对象并可以授权这些对象使用邮箱和邮件jects (Exchange不设置拒绝访问控制列表的情况下) 管理权限模型管理权限模型 第九页 管理权限模型管理权限模型 Exchange 组织管理员 与 Exchange 2003相同 Exchange 只读管理员 与 Exchange 2003相同 Exchange 服务器管理员 读取权限：Microsoft Exchange配置容器 （仅此对象)

9、读取权限：组织容器 (此对象及其子容器) 读/写/创建权限：服务器实力容器 (此对象及其子容器) Exchange 收件人管理员 读/写权限： Exchange-信息属性设置 读/写权限： Exchange-个人信息属性设置 读/写权限： 下列收件人对象属性 adminDisplayName; displayName; legacyExchangeDN; Mail; proxyAddresses; showInAddressBook; textEncodedORAddress; garbageCollPeriod; publicDelegates; displayNamePrintable 角

10、色权限生效 第十页 收件人管理收件人管理 简化 Exchange 管理员对收件人的添加和管理 在单个树（不同于Tree）中支持“拆分权限模式 可以将收件人的管理权限委派给权限较低的管理员 可以创建活动目录对象，并时期可以使用邮件和邮箱 收件人实例 不需等待或点击启动 收件人更新服务（ RUS）来标记对象 支持强大的过滤功能 包括域和树（不同于Tree）范围内的过滤 允许管理员只能看到于他们相关的对象 与其它收件人类型明显区别的新收件人类型 会议室 和设备邮箱 (资源邮箱) 支持邮箱属性选择策略 可以将一个相同的设置策略应用倒所有收件人对象上 统一消息, 消息记录管理和ActiveSync同步策

11、略 收件人策略依然存在，不过现在更名为邮件地址策略 新特性 第十一页 收件人管理收件人管理 收件人主要是指能够使用AD（目录服务）邮箱服务的用户 收件人的管理通过Exchange 管理控制台或Exchange 命令行管理程序 AD（目录服务）用户 和 计算机(两者统称为ADUC)不再对 Exchange收件人管理进行扩展 与全局地址列表相关的用户AD属性可以通过Exchange管理控制台中 的收件人配置容器进行管理 当AD用户账户可以使用邮箱时，这些账户可以由Exchange管理控制台 创建 收件人 第十二页 收件人管理收件人管理 收件人和ADUC AD（活动目录）用户和计算机（ADUC） 不

12、再向收件人管理扩展 当邮箱位于Exchange Sever 2007上时，这些邮箱用户账户将不能使 用ADUC（AD用户和计算机） 如有一个Exchange Sever 2003的收件人更新服务（RUS）正在工 作，那么ADUC邮箱操作将会成功，并且这些邮箱可以发送和接收消 息 如果邮箱被认为是遗留的，那么一些特性、操作或属性将会被锁定 第十三页 收件人管理核心概念收件人管理核心概念 收件箱 邮箱用户 - 拥有邮箱的用户 共享邮箱 - 在用户或间接邮箱（只允许 Shell模式）之间共享的邮箱 连接的邮箱 - 在资源树（不同于Tree）中 拥有邮箱的用户 遗留邮箱 - Exchange 200n

13、 邮箱 会议室邮箱 - 具备会议室功能的邮箱（新） 设备邮箱 - 具备设备功能的邮箱（新） （例，语音邮箱具备收听语音功能，可以 替代电话） 联系人 可以使用邮箱的联系人 - 拥有外部地址的联 系人 可以使用邮箱的用户 - 拥有外部地址的用户 分布群组 可以使用邮件的通用安全群组 - 可以接收邮件的 通用安全群组 可以使用邮件的通用分布群组 - 可以哦接收邮件 的通用分布群组 可以使用邮件的非通用群组 - 可以接受邮件的本 地域或全局安全群组或全局分布群组 可以使用邮件的动态通用分布群组 - 可以接收邮 件的基于查询的分布群组用户 公共文件夹 公共文件夹 可以使用邮件功能的公共文件 夹 (只支

14、持Shell模式) 收件人类型 第十四页 收件人管理核心概念收件人管理核心概念 收件人配置中心可以过滤对象 在添加/移除行中可以看到每一个可以过滤的行 收件人显示结果默认是1000条，并且可以更改 最多支持10个同步表达式 操作符包括但不仅限于 :等、不等、包含和不包含 可用操作符的数量决定于过滤的属性 支持”与“和”或“过滤操作 “与”操作对多个表达式来说是默认的 或过滤器可以在相同属性上配置两个表达式时使用 过滤 第十五页 收件人管理核心概念收件人管理核心概念 收件人配置中心支持域和树（不同于Tree）范围 可以指定连接到哪一个DC控制台 即使在组织单元（OU）下，显示区域也是可配置的 $

15、AdminSessionADSettings会话变量 (在Shell模式下) 域显示是默认选项 根据域来决定哪一个服务器是成员 只有找到一些选定域中的收件人（例如redmondevand） 参考收件人具有豁免权（例如：会员、代表和所有者等） 减少与复制相关的问题 树显示器可以显示和查找到在树中的所有收件人 提供全局地址列表（GAL）全部视图 显示 第十六页 收件人管理核心概念收件人管理核心概念 允许允许/不允许不允许 从现存的 Active Directory 对象中添加 或移除Exchange属性 允许允许为已经存在的可以使用邮箱 和邮件的AD对象添加属性 不允许 移除AD对象属性，将其还原

16、 到非Exchange状态 在MDB数据库存储的邮箱在存储过程 中会减少，并最终清空 新增新增/移除移除* 一步创建和删除AD对象和Exchange属性 新增 创建可以使用邮箱和邮件的AD 对象 默认移除 移除AD对象 在MDB数据库 存储的邮箱在存储过程中会减少，并最 终清空 -固定: 移除AD对象，并且立刻清空 MDB数据库中的邮箱 (只支持Shell模 式) *必须拥有账户管理员权限 允许与不允许的功能和新增与移除的功能 第十七页 收件人管理核心概念收件人管理核心概念 在 Exchange Server 2007收件人更新服务不再是一个单独的服务 设置电子邮件地址视为一项任务来执行 允许

17、对象立即可以使用邮件，并设置收件人相关属性 可以通过Exchange管理控制台调度任务，或者在Exchange命令行管理程序 中使用AT命令来调度 邮件地址策略仍然是是一项策略，可以根据不同的标准应用的一个或多个收件人 简化代理地址管理，只保留两种地址类型 SMTP 用户自定义 地址标记 第十八页 收件人管理核心概念收件人管理核心概念 创建预制过滤器，以简化常见情况下的定义和使用 所有收件人类型，邮箱用户，资源邮箱，可以使用邮件的联系人和可以使用邮件的 群组 环境支持国家或省，部门，公司和定制特性 可以在非工作时间实现调度EAPs的创建和应用 决定改变收件人的属性（例如：改变部门）会引起电子邮

18、件策略的自动更新 收件人更新服务（RUS）作为一项服务不再需要，这样会降低系统的处理需求 从EAPs中分离出来的邮箱管理员功能 被消息记录管理功能替换 高级或非主流功能（只支持Shell模式） 定制过滤器-在图形用户界面（GUI）中可视，但是不能编辑 邮件地址策略 第十九页 收件人管理收件人管理 像邮箱一样，分布群组也可以通过Exchange 管理控制台或Exchange命令行管理程序来创 建 与分布群组属性相关的邮件也通过这样的方 式管理 独占通用群组，以避免电子邮件清单（DL） 扩展问题 新的/只允许创建/选择通用分布群组 已经存在的非通用分布群组（全局和本地） 也可以管理，但是应先予以转

19、换 要添加到会员群组，需要被添加的对象可 以使用邮件和邮箱 分布群组 第二十页 收件人管理收件人管理 如 Exchange 2003中基于查询的分布群组 创建预制过滤器，以简化常见情况下的定义和使用 所有收件人类型，邮箱用户，资源邮箱，可以使用邮件的联系人和可 以使用邮件的群组 环境支持：国家或省，部门，公司和定制特性 高级或非主流功能（只支持Shell模式） 定制过滤器-在图形用户界面（GUI）中可视，但是不能编辑 动态分布群组 第二十一页 收件人管理收件人管理 与邮箱一样，联系人也可以通过Exchange管理控制台或者Exchange命令行管 理程序来创建 与联系人属性相关的邮件也照这样管

20、理 联系人 第二十二页 收件人管理收件人管理 用户/应用程序识别资源的方法 两种资源类型-Room或 Equipment 可以使用邮箱的用户 需要一个无效的用户帐号 包含指定资源的属性 资源容量 定制的属性,例如：电视或放映 机 正式定义的好处 用户和应用程序可以识别资源 管理资源邮箱 第二十三页 邮箱管理邮箱管理 知名的功能 重新建立邮箱 移动邮箱 删除邮箱 改变邮箱属性 新增功能 使用ConfigurationOnly配置参数移动邮箱 导出邮箱 简介 第二十四页 邮箱管理邮箱管理 Exchange Server 2007没有配置Exmerge功能 执行移动邮箱、导出邮箱和修复邮箱的任务，以

21、覆盖许多需 要ExMerge和Exchange Sever 2003配合适用的情况 由于服务器中的MAPI应用程序接口（mapi.dll）不可用， 所以不能将邮箱导出到PST文件中 在SP1版本中将会发布一项解决方案 将邮箱从修复存储群（RSG）中恢复到原来所在位置或者另 一个邮箱的文件夹中 简介 第二十五页 邮箱管理邮箱管理 管理控制台或Exchange命令行管理程序来创建邮箱并且可 以选择创建一个新的用户对象或者将邮箱绑定到已经存在的 对象上 Exchange 命令行管理程序命令 :new-mailbox 你也可以通过Exchange管理控制台或Exchange命令含管 理程序来配置不同邮

22、箱的相关属性 Exchange 命令行管理程序命令 : set-mailbox 创建和配置邮箱 第二十六页 邮箱管理邮箱管理 一些属性在Exchange管理控制台中是不可视的 配置POP/IMAP设置 共享邮箱管理 配置邮箱权限 (存储和目录服务) SendAs权限, Read权限, 更改权限等 邮箱统计和登陆 属性管理 第二十七页 邮箱管理邮箱管理 你可以使用Exchange管理控制台或Exchange命令行管理程序移动邮箱 你可以跨邮箱数据库、跨服务器、跨域、跨目录服务站点以及跨数移动邮箱 你也可以在Microsoft Exchange Server的不同版本间移动邮箱 (仅限于 2000

23、/2003/2007) Exchange 命令行管理程序命令 : move-mailbox 例子: 我怎样才能把5000个邮箱（用户名从user1到user5000）移动到一个指 定的数据库？ get-mailbox -filter Name -like user* -resultsize 5000 | move- mailbox -targetdatabase targetdbname -confirm:$false 注意：在 跨树移动邮箱时你不能使用Exchange管理控制台，而必须用Exchange命令行 管理程序 在跨树移动邮箱时你不能使用Exchange管理控制台，而必须用 Exch

24、ange命令行管理程序 移动邮箱 第二十八页 邮箱管理邮箱管理 对于一些环境来说，你需要提供一个邮箱的发送/接受权限，但是你或许不必提 供它的历史内容 灾难恢复环境 把一个数据库从一台服务器剪式移动到另一台服务器 之前的Exchange版本在要求“挖口”目录服务或利用“移除Exchange特性” 任务。你可以将一个数据库文件完全移动到一个新的位置，然后使用move- mailbox 命令来改变在目录服务中的配置信息，这样所有的邮箱都会指向数据库 的新位置 在move-mailbox命令集中，通过指定- ConfigurationOnly 开关参数来完成此类邮箱的移动 注意：你只能在单个树中移动

25、此类数据库，不能跨树移动 本地移动邮箱 第二十九页 邮箱管理邮箱管理 如果修复一个邮箱，需要修复恢复存储群组的存储并使用 restore-mailbox命令才能恢复单个邮箱 拨号语音环境: 如果修复另一台服务器上的服务，和上面相 同，此外你还需要使用move-mailbox命令和- ConfigurationOnly 参数开关 Move-mailbox 支持跨组织边界的移动 替换ExMerge功能 第三十页 邮箱管理邮箱管理 导出邮箱功能允许管理员将邮箱内容导出到另一个位置 支持关键字查找 (-ContentKeywords) 支持数据删除选项 (-DeleteContent) 支持附件 (-

26、AttachmentFilenames) 支持时间期限 (-StartDate and -EndDate) 支持主题查找 (-SubjectKeywords) 支持文件夹包含/排斥 另一个位置是一个邮箱；你也可以为导出的内容指定一个目标文件夹 目标文件夹不能是内置的或特殊的文件夹（例如：收件箱） 替换ExMerge功能 第三十一页 邮箱管理邮箱管理 导出邮箱功能不支持将其导入PST文件 这是一个显著的问题并且许多用户都因此而停止使用它 正在为SP1版本研究可用的解决方案 没有一个在邮箱内删除特殊消息的内置解决方案（例如：OOF规则等） 间接实现方法 使用MAPI编辑器编辑特殊消息 把数据导出到

27、一个用户能访问的特殊邮箱中 把数据导出到邮箱中，然后使用Outlook把内容导出到Unicode PST 文件中 替换ExMerge功能 第三十二页 邮箱管理邮箱管理 提供具有完全访问邮箱权限的账户: 添加邮箱权限 Identity “mailbox” User “user” AccessRights FullAccess 在Store内提供具有完全访问邮箱权限的账户: 添加目录服务权限 Identity “mailbox store” User “user” ExtendedRights ReceiveAs 提供邮箱相似发送功能帐户: 添加目录服务权限 Identity “mailbox”

28、User “user” ExtendedRights SendAs 在资源邮箱上添加一个委派代表: 设置-MailboxCalendarSettings ResourceDelegates 权限例子 第三十三页 邮箱管理邮箱管理 验证邮箱服务器功能: 测试MAPI的连通性 当一个客户端在任何地点使用Outlook连接时，测试其使用 的路径 T测试Outlook任何地点的连通性 MailboxCredential:(get-credential contosojoe) 连通性测试 第三十四页 邮箱管理邮箱管理 美国国会有一台服务器MBX-1，代表众议院和参议 员 MBX-1 有两个数据库，分别为 House和Senate 现在数据库已经