В первой части статьи мы представили административные роли
Exchange 2007, а именно роли Exchange Organization
Administrator, Exchange Recipient Administrator, Exchange
View-Only Administrator и Exchange Server Administrator. Но
одну тему мы не охватили в прошлой статье — как добавлять или
удалять пользователей из этих ролей, как с помощью Exchange
Management Console(EMC), так и с помощью Exchange Management
Shell(EMS). Это та тема, которую мы осветим в этой части
статьи; кроме того, мы рассмотрим две обычные административные
задачи, связанные с правами, которые регулярно приходится
решать в Exchange.
Добавление административной роли
Давайте посмотрим на те шаги, которые требуется
предпринять, чтобы наделить пользователя или группу одной из
новых административных ролей. Заметьте, что для выполнения
этой задачи необходимо убедиться, что аккаунт, используемый
вами, получил роль Exchange Organization Administrator.
Следовательно, если это первый дополнительный аккаунт,
добавляемый вами после установки Exchange 2007, необходимо
использовать аккаунт, с которого происходила установка
Exchange 2007, так как именно этот аккаунт получил роль
Exchange Organization Administrator. Для начала используем
традиционный путь (с помощью GUI), пользуясь Exchange
Management Console (EMC).
- Запустите EMC.
- Выберите узел Organization Configuration в консольном
дереве.
- В открывшейся панели вы увидите вкладку Exchange
Administrators(единственную вкладку) и ниже — список
пользователей/групп и приписанные им права (Рисунок 1).
-
Рисунок 1:
Администраторы Exchange по умолчанию
- Правой кнопкой мыши щелкните на узел Organization
Configuration и выберите Add Exchange
Administrator…(добавить администратора) из контекстного меню
или выберите ту же опцию прямо из панели action.
- Мастер Add Exchange Administrator появится, что
выразится в том, что кроме экрана, который вы видите сейчас,
появится экран Add Exchange Administrator плюс экран
Completion(завершение). На Рисунке 2 показан экран Add
Exchange Administrator.
-
Рисунок 2: Мастер
Add Exchange Administrator
- Щелкните на кнопку Browse…(обзор) и в появившемся окне
Select User or Group to Delegate(выберите пользователя или
группу для делегирования) обозначьте пользователя или
группу, которым вы хотите дать права. После того, как вы
укажите пользователя или группу, нажмите OK. Обратившись к
окну мастера Add Exchange Administrator, вы должны увидеть
теперь выбранного пользователя или группу в первом поле.
- Далее, выберите соответствующую администраторскую роль
из представленного списка. Если вы выберете одну из первых
трех ролей, а именно, Exchange Organization Administrator,
Exchange Recipient Administrator или Exchange View-Only
Administrator, все, что нужно, — это щелкнуть на кнопку Add
внизу экрана, после чего вы попадете на экран Completion.
Если, однако, вы выбираете Exchange Server Administrator,
тогда нужно щелкнуть на кнопку Add непосредственно под
названием роли для того, чтобы выбрать сервера, которые
будет администрировать выбранный пользователь или группа.
После этого вы увидите окно Select Exchange Server (Выбор
сервера Exchange), в котором просто представлен список
доступных для администрирования серверов. Очевидно, сервера
Exchange 2000 или Exchange 2003 не будут представлены в
списке, и, кроме того, если у вас есть кластеры Exchange
2007, вы увидите естественно название кластеризированного
почтового сервера, а не имена кластерных узлов. Выберите
соответствующие сервера, и щелкните OK. После завершения, вы
увидите такой экран (Рисунок 3)
-
Рисунок 3: Мастер
Add Exchange Administrator с обзором всех серверов
- После того, как вы щелкаете на кнопку Add в
открывающемся окне мастера Add Exchange Administrator,
появится экран Completion, где показываются результаты
операции.
Нужно обратить внимание еще на одну деталь. Если вы
наделяете кого-либо ролью Exchange Server Administrator, вам
также необходимо вручную добавить такого пользователя в
локальную административную группу на том сервере (серверах),
который он будет администрировать. И наоборот, если вы лишаете
пользователей роли Exchange Server Administrator, то
необходимо также вручную удалить этих пользователей из
локальной административной группы соответствующих
серверов.
Конечно же, вы уже должны знать, что при выполнении вами
задач в GUI показывается соответствующая команда при
завершении мастера, и мастер Add Exchange Administrator в этом
смысле не исключение. Установление ролей и прав с помощью EMS
очень простое. Нужная команда:
Add-ExchangeAdministrator. Все, что нужно дальше, —
добавить параметры –Identity и –Role. К
примеру, чтобы наделить пользователя User1 ролью Exchange
Organization Administrator, введите следующую команду:
Add-ExchangeAdministrator –Identity User1 –Role OrgAdmin
Отсюда вы видите, что для этой роли использован параметр
OrgAdmin, что соответствует роли Exchange Organization
Administrator. Другие параметры, обозначающие роли,
следующие:
- RecipientAdmin для роли Exchange Recipient
Administrator.
- ViewOnlyAdmin для роли Exchange View-Only Administrator.
- ServerAdmin для роли Exchange Server Administrator.
Если вы используете роль ServerAdmin, необходимо также
добавить дополнительный параметр –Scope для указания серверов,
которые будет администрировать данный пользователь. К примеру,
для того, чтобы дать пользователю User1 роль Exchange Server
Administrator в сервере Exchange 2007 под названием EXCHANGE,
команда должна быть такой:
Add-ExchangeAdministrator –Identity User1 –Role ServerAdmin –Scope EXCHANGE
Параметр –Scope принимает только один сервер. Чтобы дать
пользователю права на несколько серверов, вы можете либо
набрать команду несколько раз, либо использовать метод
массивов. Я обязан поблагодарить Бена Винсенза (Ben Winzenz)
из Microsoft и Дэвина Ганджера (Devin Ganger), члена MVP
Exchange, за напоминание мне про этот метод. Чтобы дать
пользователю User1 роль Exchange Server Administrator в трех
серверах Exchange 2007 под названиями EXSRV1, EXSRV2 и EXSRV3,
ваш код должен выглядеть примерно так:
$MyServers = “EXSRV1”,”EXSRV2”,”EXSRV3”
ForEach ($CurrentServer in $MyServers) {Add-ExchangeAdministrator –Identity User1 –Role ServerAdmin –Scope $CurrentServer}
Этот код выбирает каждое имя сервера по очереди из массива
$MyServers и добавляет имя сервера в параметр $CurrentServer,
который и является входным значением для параметра –Scope.
Лишение роли администратора Exchange 2007
Лишение пользователя роли администратора Exchange 2007 — не
может быть ничего проще. В EMC все лишь нужно щелкнуть правой
кнопкой мыши на имя пользователя во вкладке Exchange
Administrators (Рисунок 1) и выбрать Remove(Удалить) из
контекстного меню; настолько все просто.
В EMS нужно использовать команду
Remove-ExchangeAdministrator. К примеру, чтобы лишить
аккаунт User1 роли Exchange View-Only Administrator,
наберите:
Remove-ExchangeAdministrator –Identity User1 –Role ViewOnlyAdmin
Необходимо включать параметр Role при использовании EMS для
удаления администраторов Exchange.
Предоставление доступа к почтовому ящику
Одной из обычных задач, выполняемых администраторами
Exchange, является предоставление полного доступа к почтовому
ящику, как в классическом сценарии менеджер/секретарь. Это
можно легко реализовать, используя EMS, а именно команду
Add-MailboxPermission. К примеру, чтобы дать
пользователю User2 полный доступ к ящику пользователя User1,
наша команда такова:
Add-MailboxPermission User1 –User User2 –AccessRights FullAccess
Если все в порядке, результат должен выглядеть так:
Рисунок 4: Полный
доступ к почтовому ящику через EMS
Лишение доступа через EMS — просто использование команды
Remove-MailboxPermission с теми же параметрами.
Предоставление права на Send As (Отправить Как)
Другой обычной задачей администраторов Exchange является
предоставления почтовому ящику разрешения на Send As. Это
используется в сценариях, когда кому-либо еще, кроме обычного
пользователя почтового ящика, требуется отправить сообщения
так, как будто они отправлены от обычного владельца ящика.
Microsoft дает нам два варианта реализации разрешения на Send
As, а именно GUI способ с помощью оснастки Active Directory
Users and Computers snap-in, или способ с использованием
командной строки через EMS. Поскольку установка разрешений на
Send As требует изменения прав, необходимо выполнять такие
задачи, используя аккаунт, получивший роль Exchange
Organization Administrator.
Посмотрим вначале на использование EMS. Команда
Add-ADPermission используется для предоставления прав
объектам Active Directory, поэтому это то, что нужно нам
сейчас. Ключевой параметр, который нужно применить, это
параметр ExtendedRights. К примеру, чтобы дать пользователю
User2 право на отправку сообщений как от почтового ящика
пользователя User1, наша команда должна быть следующей:
Add-ADPermission User1 –User NGH\User2 –ExtendedRights “Send As”
Для лишения такого права нужно использовать те же параметры
с командой Remove-ADPermission.
Если администратор Exchange хочет использовать Active
Directory Users and Computers snap-in, Microsoft показывает,
что мы можем достичь своих целей за несколько шагов:
- Запустить Active Directory Users and Computers snap-in.
- Убедиться, что таблица Advanced Features (Дополнительные
свойства) отображается при выборе опции Advanced Features из
меню View(Вид).
- Указать, на какой аккаунт требуются права. В моем
примере это User1. После этого щелкните правой кнопкой мыши
на этот аккаунт и выберите Properties(Свойства) из
контекстного меню.
- Далее, в Properties выберите вкладку
Security(Безопасность).
- Щелкните на кнопку Advanced(Дополнительно), вы увидите
окно Advanced Security Settings (Дополнительные настройки
безопасности) (Рисунок 5). В этом окне щелкните кнопку
Add(Добавить)
-
Рисунок 5: Advanced
Security Settings
- Далее вы увидите окно Select User, Computer, or
Group(Выбор пользователя, компьютера или группы). Здесь вы
просто вводите имя пользовательского аккаунта, которому вы
хотите дать права на Sens As. В моем примере это
пользователь User2. Набрав имя, щелкните на кнопку Check
Names(Проверить Имена), убедитесь, что пользовательский
аккаунт правильно определен, затем щелкните OK.
- Теперь должно появиться окно Permissions Entry(Запись
прав) (Рисунок 6). Щелкните на выпадающий список и выберите
This object only(Только этот объект) из списка доступных
опций.
- В списке доступных разрешений найдите разрешение на Send
As и затем поставьте галочку Allow (Позволить) напротив
этого разрешения. (Рисунок 6)
-
Рисунок 6: Окно
Permission Entry
- Теперь вы можете щелкнуть OK во всех окнах, чтобы
закрыть их.
Заключение
Надеюсь, что в двух частях этой статьи я дал вам понятное
объяснение административных ролей в Exchange 2007. Я также
сделал обзор пары обычных задач, которые вам, скорее всего,
нужно будет выполнять. Что касается последней из этих задач,
вы, наверное, согласитесь, что тут нужно выполнить немного
действий при использовании GUI метода. Лично я считаю, что EMS
метод более простой, но это при выборе действительно более
выгодного метода.