Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Microsoft Exchange Server Exchange Server 2007 Права и роли в Exchange 2007 RSS

Права и роли в Exchange 2007

Текущий рейтинг: 3.57 (проголосовало 7)
 Посетителей: 7143 | Просмотров: 10595 (сегодня 1)  Шрифт: - +

В первой части статьи мы представили административные роли Exchange 2007, а именно роли Exchange Organization Administrator, Exchange Recipient Administrator, Exchange View-Only Administrator и Exchange Server Administrator. Но одну тему мы не охватили в прошлой статье — как добавлять или удалять пользователей из этих ролей, как с помощью Exchange Management Console(EMC), так и с помощью Exchange Management Shell(EMS). Это та тема, которую мы осветим в этой части статьи; кроме того, мы рассмотрим две обычные административные задачи, связанные с правами, которые регулярно приходится решать в Exchange.

Добавление административной роли

Давайте посмотрим на те шаги, которые требуется предпринять, чтобы наделить пользователя или группу одной из новых административных ролей. Заметьте, что для выполнения этой задачи необходимо убедиться, что аккаунт, используемый вами, получил роль Exchange Organization Administrator. Следовательно, если это первый дополнительный аккаунт, добавляемый вами после установки Exchange 2007, необходимо использовать аккаунт, с которого происходила установка Exchange 2007, так как именно этот аккаунт получил роль Exchange Organization Administrator. Для начала используем традиционный путь (с помощью GUI), пользуясь Exchange Management Console (EMC).

  1. Запустите EMC.
  2. Выберите узел Organization Configuration в консольном дереве.
  3. В открывшейся панели вы увидите вкладку Exchange Administrators(единственную вкладку) и ниже — список пользователей/групп и приписанные им права (Рисунок 1). Рисунок 1: Администраторы Exchange по умолчанию
  4. Рисунок 1: Администраторы Exchange по умолчанию
  5. Правой кнопкой мыши щелкните на узел Organization Configuration и выберите Add Exchange Administrator…(добавить администратора) из контекстного меню или выберите ту же опцию прямо из панели action.
  6. Мастер Add Exchange Administrator появится, что выразится в том, что кроме экрана, который вы видите сейчас, появится экран Add Exchange Administrator плюс экран Completion(завершение). На Рисунке 2 показан экран Add Exchange Administrator. Рисунок 2: Мастер Add Exchange Administrator
  7. Рисунок 2: Мастер Add Exchange Administrator
  8. Щелкните на кнопку Browse…(обзор) и в появившемся окне Select User or Group to Delegate(выберите пользователя или группу для делегирования) обозначьте пользователя или группу, которым вы хотите дать права. После того, как вы укажите пользователя или группу, нажмите OK. Обратившись к окну мастера Add Exchange Administrator, вы должны увидеть теперь выбранного пользователя или группу в первом поле.
  9. Далее, выберите соответствующую администраторскую роль из представленного списка. Если вы выберете одну из первых трех ролей, а именно, Exchange Organization Administrator, Exchange Recipient Administrator или Exchange View-Only Administrator, все, что нужно, — это щелкнуть на кнопку Add внизу экрана, после чего вы попадете на экран Completion. Если, однако, вы выбираете Exchange Server Administrator, тогда нужно щелкнуть на кнопку Add непосредственно под названием роли для того, чтобы выбрать сервера, которые будет администрировать выбранный пользователь или группа. После этого вы увидите окно Select Exchange Server (Выбор сервера Exchange), в котором просто представлен список доступных для администрирования серверов. Очевидно, сервера Exchange 2000 или Exchange 2003 не будут представлены в списке, и, кроме того, если у вас есть кластеры Exchange 2007, вы увидите естественно название кластеризированного почтового сервера, а не имена кластерных узлов. Выберите соответствующие сервера, и щелкните OK. После завершения, вы увидите такой экран (Рисунок 3) Рисунок 3: Мастер Add Exchange Administrator с обзором всех серверов
  10. Рисунок 3: Мастер Add Exchange Administrator с обзором всех серверов
  11. После того, как вы щелкаете на кнопку Add в открывающемся окне мастера Add Exchange Administrator, появится экран Completion, где показываются результаты операции.

Нужно обратить внимание еще на одну деталь. Если вы наделяете кого-либо ролью Exchange Server Administrator, вам также необходимо вручную добавить такого пользователя в локальную административную группу на том сервере (серверах), который он будет администрировать. И наоборот, если вы лишаете пользователей роли Exchange Server Administrator, то необходимо также вручную удалить этих пользователей из локальной административной группы соответствующих серверов.

Конечно же, вы уже должны знать, что при выполнении вами задач в GUI показывается соответствующая команда при завершении мастера, и мастер Add Exchange Administrator в этом смысле не исключение. Установление ролей и прав с помощью EMS очень простое. Нужная команда: Add-ExchangeAdministrator. Все, что нужно дальше, — добавить параметры –Identity и –Role. К примеру, чтобы наделить пользователя User1 ролью Exchange Organization Administrator, введите следующую команду:

Add-ExchangeAdministrator –Identity User1 –Role OrgAdmin

Отсюда вы видите, что для этой роли использован параметр OrgAdmin, что соответствует роли Exchange Organization Administrator. Другие параметры, обозначающие роли, следующие:

  • RecipientAdmin для роли Exchange Recipient Administrator.
  • ViewOnlyAdmin для роли Exchange View-Only Administrator.
  • ServerAdmin для роли Exchange Server Administrator.

Если вы используете роль ServerAdmin, необходимо также добавить дополнительный параметр –Scope для указания серверов, которые будет администрировать данный пользователь. К примеру, для того, чтобы дать пользователю User1 роль Exchange Server Administrator в сервере Exchange 2007 под названием EXCHANGE, команда должна быть такой:

Add-ExchangeAdministrator –Identity User1 –Role ServerAdmin –Scope EXCHANGE

Параметр –Scope принимает только один сервер. Чтобы дать пользователю права на несколько серверов, вы можете либо набрать команду несколько раз, либо использовать метод массивов. Я обязан поблагодарить Бена Винсенза (Ben Winzenz) из Microsoft и Дэвина Ганджера (Devin Ganger), члена MVP Exchange, за напоминание мне про этот метод. Чтобы дать пользователю User1 роль Exchange Server Administrator в трех серверах Exchange 2007 под названиями EXSRV1, EXSRV2 и EXSRV3, ваш код должен выглядеть примерно так:

$MyServers = “EXSRV1”,”EXSRV2”,”EXSRV3”
ForEach ($CurrentServer in $MyServers) {Add-ExchangeAdministrator –Identity User1 –Role ServerAdmin –Scope $CurrentServer}

Этот код выбирает каждое имя сервера по очереди из массива $MyServers и добавляет имя сервера в параметр $CurrentServer, который и является входным значением для параметра –Scope.

Лишение роли администратора Exchange 2007

Лишение пользователя роли администратора Exchange 2007 — не может быть ничего проще. В EMC все лишь нужно щелкнуть правой кнопкой мыши на имя пользователя во вкладке Exchange Administrators (Рисунок 1) и выбрать Remove(Удалить) из контекстного меню; настолько все просто.

В EMS нужно использовать команду Remove-ExchangeAdministrator. К примеру, чтобы лишить аккаунт User1 роли Exchange View-Only Administrator, наберите:

Remove-ExchangeAdministrator –Identity User1 –Role ViewOnlyAdmin

Необходимо включать параметр Role при использовании EMS для удаления администраторов Exchange.

Предоставление доступа к почтовому ящику

Одной из обычных задач, выполняемых администраторами Exchange, является предоставление полного доступа к почтовому ящику, как в классическом сценарии менеджер/секретарь. Это можно легко реализовать, используя EMS, а именно команду Add-MailboxPermission. К примеру, чтобы дать пользователю User2 полный доступ к ящику пользователя User1, наша команда такова:

Add-MailboxPermission User1 –User User2 –AccessRights FullAccess

Если все в порядке, результат должен выглядеть так:

Рисунок 4: Полный доступ к почтовому ящику через EMS

Рисунок 4: Полный доступ к почтовому ящику через EMS

Лишение доступа через EMS — просто использование команды Remove-MailboxPermission с теми же параметрами.

Предоставление права на Send As (Отправить Как)

Другой обычной задачей администраторов Exchange является предоставления почтовому ящику разрешения на Send As. Это используется в сценариях, когда кому-либо еще, кроме обычного пользователя почтового ящика, требуется отправить сообщения так, как будто они отправлены от обычного владельца ящика. Microsoft дает нам два варианта реализации разрешения на Send As, а именно GUI способ с помощью оснастки Active Directory Users and Computers snap-in, или способ с использованием командной строки через EMS. Поскольку установка разрешений на Send As требует изменения прав, необходимо выполнять такие задачи, используя аккаунт, получивший роль Exchange Organization Administrator.

Посмотрим вначале на использование EMS. Команда Add-ADPermission используется для предоставления прав объектам Active Directory, поэтому это то, что нужно нам сейчас. Ключевой параметр, который нужно применить, это параметр ExtendedRights. К примеру, чтобы дать пользователю User2 право на отправку сообщений как от почтового ящика пользователя User1, наша команда должна быть следующей:

Add-ADPermission User1 –User NGH\User2 –ExtendedRights “Send As”

Для лишения такого права нужно использовать те же параметры с командой Remove-ADPermission.

Если администратор Exchange хочет использовать Active Directory Users and Computers snap-in, Microsoft показывает, что мы можем достичь своих целей за несколько шагов:

  1. Запустить Active Directory Users and Computers snap-in.
  2. Убедиться, что таблица Advanced Features (Дополнительные свойства) отображается при выборе опции Advanced Features из меню View(Вид).
  3. Указать, на какой аккаунт требуются права. В моем примере это User1. После этого щелкните правой кнопкой мыши на этот аккаунт и выберите Properties(Свойства) из контекстного меню.
  4. Далее, в Properties выберите вкладку Security(Безопасность).
  5. Щелкните на кнопку Advanced(Дополнительно), вы увидите окно Advanced Security Settings (Дополнительные настройки безопасности) (Рисунок 5). В этом окне щелкните кнопку Add(Добавить) Рисунок 5: Advanced Security Settings
  6. Рисунок 5: Advanced Security Settings
  7. Далее вы увидите окно Select User, Computer, or Group(Выбор пользователя, компьютера или группы). Здесь вы просто вводите имя пользовательского аккаунта, которому вы хотите дать права на Sens As. В моем примере это пользователь User2. Набрав имя, щелкните на кнопку Check Names(Проверить Имена), убедитесь, что пользовательский аккаунт правильно определен, затем щелкните OK.
  8. Теперь должно появиться окно Permissions Entry(Запись прав) (Рисунок 6). Щелкните на выпадающий список и выберите This object only(Только этот объект) из списка доступных опций.
  9. В списке доступных разрешений найдите разрешение на Send As и затем поставьте галочку Allow (Позволить) напротив этого разрешения. (Рисунок 6) Рисунок 6: Окно Permission Entry
  10. Рисунок 6: Окно Permission Entry
  11. Теперь вы можете щелкнуть OK во всех окнах, чтобы закрыть их.

Заключение

Надеюсь, что в двух частях этой статьи я дал вам понятное объяснение административных ролей в Exchange 2007. Я также сделал обзор пары обычных задач, которые вам, скорее всего, нужно будет выполнять. Что касается последней из этих задач, вы, наверное, согласитесь, что тут нужно выполнить немного действий при использовании GUI метода. Лично я считаю, что EMS метод более простой, но это при выборе действительно более выгодного метода.

Автор: Нейл Хобсон (Neil Hobson)  •  Иcточник: MSexchange.ru  •  Опубликована: 23.11.2007
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:  


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.