Как управлять группами Exchange 2010, которыми вы владеете?
Проблема
Вы загрузили сверкающий новизной Exchange 2010 и с трепетом установили его на оборудование. Вы настроили все ваши серверы клиентского доступа, ваши группы доступности баз данных подняты и работают. Ваши пилотные пользователи перемещены, и все идет хорошо.
Затем вы перемещаете руководителей, и не прошло двух дней, как они звонят вам и жалуются, что не могут управлять группами рассылки, которыми они владеют. Они могли это делать раньше, но теперь это не работает.
После небольшой проверки вы видите, что они правы. Вы получаете сообщение об ошибке в Outlook 2007, когда пытаетесь управлять группами:
Так что же означает ошибка: "Changes to the distribution list membership cannot be saved. You do not have sufficient permission to perform this operation on this object." («Изменения в списке членов группы рассылки не могут быть сохранены. Вы не имеете достаточных прав для выполнения этой операции над этим объектом»), когда вы подключаетесь к серверу Exchange 2010?
Это означает, что Exchange 2010 работает... как положено!
Почему так происходит?
Exchange 2010 имеет несколько встроенных функций для того, чтобы пользователи могли управлять их собственными учетными записями и информацией. Одна из таких функций – это возможность управлять группами рассылки в более продвинутом виде, чем предлагает Outlook 2007.
Это позволяет пользователям присоединяться к существующим группам, управлять некоторыми свойствами групп, которыми они владеют, членством в группах, которыми они владеют, и даже создавать и удалять группы. Последняя из этих возможностей немного обеспокоила наших бета-пользователей. Ведь возможность управлять собственными группами – это хорошо, а возможность создавать и удалять группы – не всегда.
Эта функция была включена по умолчанию. Поэтому если вы установливали бета-версию Exchange 2010, то любые ваши пользователи могли создавать и удалять группы рассылки. С учетом этого группа разработки решила выключить эту функцию по умолчанию в RTM.
Ее выключение очень простое … как и ее включение. Все, что вы должны сделать – это назначить пользовательскую роль MyDistributionGroups в политике Default Role Assignment Policy. Это можно сделать даже через ECP.
Так как все встроенные роли RBAC должны выступать в качестве родителей для любых ролей, которые вы создаете, группа разработки была вынуждена оставить возможность создавать и удалять группы рассылки в этой роли, чтобы любые заказчики, которые захотят, чтобы их пользователи имели эту функциональность, могли ее назначить.
Так как это исправить?
«Исправить» – это не вполне правильное слово. Нам необходимо изменить настройки по умолчанию так, чтобы они соответствовали конкретным потребностям. Для некоторого числа заказчиков эти потребности заключаются в следующем:
1. Я хочу, чтобы мои пользователи могли управлять группами рассылки, которыми они владеют.
2. Я не хочу, чтобы они имели возможность создавать группы рассылки.
3. Я не хочу, чтобы они имели возможность удалять группы рассылки, даже если они владеют ими.
Чтобы помочь заказчикам добиться этого, мы создали небольшой скрипт. Он позволит вам установить вышеперечисленные настройки в любом сочетании.
Скрипт Manage-GroupManagementRole.ps1 доступен в TechNet Script Center.
Как запускать этот скрипт?
Чтобы выполнить скрипт, вам нужно скопировать его содержимое в текстовый файл на машину, где вы собираетесь его выполнять. Сохраните этот файле с типом .ps1. Я рекомендую название Manage-GroupManagementRole.ps1.
Чтобы установить все вышеперечисленные настройки с минимальными усилиями, запустите из Exchange Powershell Prompt команду:
Manage-Groupmanagmeentrole.ps1 -creategroup -removegroup
Это создаст все, что вам нужно с правильными настройками, используя имена по умолчанию в сценарии. Если вы хотите получить помощь по сценарию, можно либо просмотреть содержимое файла, либо запустить его без ключей.
Что делает этот скрипт?
То, что делает скрипт, на самом деле довольно просто:
1. Создает новую роль RBAC, которая является дочерней к роли MyDistributionGroups
2. Удаляет командлеты remove-distributiongroup и new-distributiongroup из новой роли
3. Назначает новую роль в политику Default Role Assignment Policy
После завершения ваши пользователи смогут управлять группами рассылки, но не создавать или удалять их.
Каждый шаг скрипта задокументирован в нем, и вы можете извлечь из него то, что вам необходимо. Он предназначен для обработки не только базового сценария, что дает ему немного больше гибкости.
Что я получу в конечном итоге, если выполню скрипт с настройками по умолчанию?
После выполнения вы получите новую роль и ее назначение в политику по умолчанию. Если мы посмотрим на это в PowerShell, мы увидим:
Вот роль, которая создана скриптом. По умолчанию она называется MyDistributionGroupsManagement и является дочерней к роли MyDistributionGroups.
Вот мы видим все командлеты, которые роль разрешает использовать. Вы можете видеть, что remove-distributiongroup и new-distributiongroup в списке отсутствуют.
Вот кусок, который склеивает все вместе. Назначение роли создается с использованием имени роли и имени политики, которой мы назначаем роль. Политика Default Role Assignment Policy применяется по умолчанию ко всем пользователям в организации. Таким образом, все пользователи на Exchange 2010 теперь будут иметь возможность управлять их собственными группами рассылки.
Заключение
Надеюсь, эта статья и скрипт помогут вам в развертывании вашей среды. Если у вас есть любые вопросы касательно скрипта или процесса его выполнения, пожалуйста, не стесняйтесь задавать их тут, и я сделаю все возможное, чтобы ответить на них.
Мэтт Берд
Примечание переводчика: тема статьи сейчас отражена в документации по Exchange 2010 SP1 Отключение возможности создания групп рассылки для пользователя.
Перевод: Илья Сазонов, MVP