Escenario: Implementación de directivas de libreta de direcciones en Exchange Server

  • Artículo

En los escenarios de este tema se describen las soluciones de implementación para directivas de libreta de direcciones (AAP) en tres de los tipos de organización más comunes en los que varias entidades (empresas, agencias gubernamentales, aulas escolares, etc.) comparten un entorno común de Exchange. En todos los escenarios, un filtro de destinatario divide a los destinatarios en organizaciones virtuales independientes, que luego define los AAP que se aplican a los usuarios de esas organizaciones virtuales. Para obtener más información sobre los filtros de destinatarios y las organizaciones virtuales, consulte la sección Consideraciones y procedimientos recomendados para directivas de libreta de direcciones más adelante en este tema.

Para obtener más información sobre los ABPs, consulte Directivas de libreta de direcciones en Exchange Server. Para ver los procedimientos de ABP, consulte Procedimientos para directivas de libreta de direcciones en Exchange Server.

Escenario 1: Dos empresas independientes en una organización de Exchange

Este escenario se aplica a empresas o divisiones que comparten el mismo entorno de Exchange, pero no tienen empleados ni administración comunes. Además, las divisiones no tienen problemas especiales de seguridad o privacidad.

En este escenario, Contoso y Humongous Insurance son dos compañías independientes que comparten el mismo entorno de Exchange. Una ABP para cada empresa permite a los empleados de una empresa ver solo a los miembros de la misma empresa en la lista global de direcciones (GAL) en Outlook y Outlook en la Web (anteriormente conocida como Outlook Web App). Todos los grupos de distribución pertenecen a una empresa o a la otra, y ningún grupo de distribución contiene miembros de ambas compañías.

Dos empresas y una organización de Exchange.

En esta tabla se describen las listas de direcciones gal, la libreta de direcciones sin conexión (OAB), la lista de salas y las listas de direcciones necesarias para este escenario:

Elemento ABP Contoso Seguro humongous
Lista global de direcciones GAL_CON GAL_HI
Libreta de direcciones sin conexión OAB_CON OAB_HI
Lista de salas AL_CON_Rooms AL_HI_Rooms
Listas de direcciones AL_CON_Groups
AL_CON_Users
AL_CON_Contacts		 AL_HI_Groups
AL_HI_Users
AL_HI_Contacts

Escenario 2: Dos empresas que comparten un ceo en una organización de Exchange

Este escenario se aplica a las empresas o divisiones que comparten el entorno de Exchange y los únicos empleados en común están en la administración superior.

En este escenario, Fabrikam y Tailspin Toys son empresas independientes en el mismo entorno de Exchange que comparten el mismo CEO, que es la única persona en común entre las dos compañías. En este escenario se usan tres ABP que tienen los siguientes requisitos:

  • Los empleados de una empresa solo pueden ver destinatarios en su empresa cuando examinan la GAL, y los empleados de ambas empresas pueden ver al director general en la GAL y en los grupos de distribución.

  • El director general puede ver todos los destinatarios de ambas compañías, puede crear grupos de distribución que abarquen ambas empresas y los grupos son visibles en la GAL de cada empresa. Sin embargo, los miembros del grupo solo ven a otros miembros de su empresa respectiva (los miembros del grupo de la otra compañía están ocultos).

  • Los empleados que examinan la pertenencia al grupo del ceo solo verán grupos en su empresa. No verán grupos en la otra compañía.

  • Cada empresa tiene un grupo de distribución denominado Senior Leadership que incluye la administración de esa empresa y el CEO.

  • Los nombres de los tres ABPs son: ABP_FAB, ABP_TAIL y ABP_CEO.

Dos compañías Un CEO.

En esta tabla se describen las listas gal, OAB, lista de salas y direcciones necesarias en los ABPs para este escenario:

Elemento ABP Fabrikam Tailspin Toys Presidente ejecutivo
Nombre ABP_FAB AB_TAIL ABP_CEO
Lista global de direcciones GAL_FAB GAL_TAIL Libreta de direcciones global predeterminada
Libreta de direcciones sin conexión OAB_FAB OAB_TAIL Libreta de direcciones sin conexión predeterminada
Lista de direcciones de salas AL_FAB_Rooms AL_TAIL_Rooms Todas las salas
Listas de direcciones AL_FAB_Users_DGs
AL_FAB_Contacts		 AL_TAIL_Users_DGs
AL_TAIL_Contacts		 AL_FAB_Users_DGs
AL_FAB_Contacts
AL_TAIL_Users_DGs
AL_TAIL_Contacts

Para obtener un tutorial completo sobre cómo crear los elementos necesarios para este escenario, consulte la sección Pasos detallados de implementación del escenario 2: Dos empresas que comparten un ceo en una organización de Exchange al final de este tema.

Escenario 3: Educación

Este escenario es aplicable a las escuelas o universidades en las que es necesaria una división de salones de clases para garantizar la privacidad de los alumnos, y tiene los siguientes requisitos:

  • Los alumnos de cada aula solo pueden ver a los alumnos de su propia aula, a su profesor y al director.

  • Los profesores solo pueden ver a los alumnos en sus propias clases.

  • Los maestros pueden ver al director y a todos los demás maestros.

  • Los grupos de distribución se crean para los elementos primarios y profesores asociados a cada clase.

Escenario de educación de directivas de libreta de direcciones.

En esta tabla se describen las listas gal, OAB, lista de salas y direcciones necesarias en los ABPs para este escenario:

Elemento ABP Students_ClassA Teachers_ClassA Director
Lista global de direcciones GAL_StudentsClassA GAL_TeachersClassA GAL_Everyone
Libreta de direcciones sin conexión OAB_StudentsClassA OAB_TeachersClassA Libreta de direcciones sin conexión predeterminada
Lista de direcciones de salas AL_BlankRoom AL_BlankRoom Todas las salas
Listas de direcciones AL_ClassAAL_Principal AL_ClassAAL_AllTeachersAL_AllGroupsAL_Principal AL_ClassA
AL_ClassB
AL_AllTeachers
AL_AllStudents
AL_AllGroups

Consideraciones y procedimientos recomendados para directivas de libreta de direcciones

Estos son los problemas importantes que se deben tener en cuenta al usar LOSA en su organización:

  • No se puede usar la libreta jerárquica de direcciones (LJD) y las ABP de manera simultánea. Para obtener más información, consulte Understanding Hierarchical Address Books.

  • Un usuario al que se asigna una ABP debe existir en la GAL especificada para el ABP.

  • Si crea abps en su organización y no asigna una ABP a algunos usuarios, esos destinatarios pueden ver todas las listas de direcciones.

  • Para dividir destinatarios en organizaciones virtuales, se recomienda usar los atributos CustomAttribute1 a CustomAttribute15 en los destinatarios. Estos atributos funcionan mejor que los demás atributos condicionales predefinidos, como Company, Department o StateOrProvince , porque:

    • No todos los tipos de destinatarios admiten los atributos Company, Department o StateOrProvince (por ejemplo, grupos de distribución, grupos de distribución dinámicos y carpetas públicas habilitadas para correo).

    • Los atributos CustomAttribute1 a CustomAttribute15 no son configurables por los usuarios en sus propios buzones de correo y están totalmente bajo el control de los administradores.

    • Incluso los tipos de destinatarios que admiten los atributos Company, Department o StateOrProvince requieren cmdlets diferentes para configurarlos.

      Por ejemplo, para configurar valores para Company, Department o StateOrProvince en buzones, usuarios de correo o contactos de correo, no puede usar los cmdlets Set-Mailbox, Set-MailUser o Set-MailContact . En su lugar, debe usar los cmdlets Set-User y Set-Contact . Por el contrario, los parámetros CustomAttribute1 a CustomAttribute15 están disponibles en los cmdlets Set-* correspondientes para todos los tipos de destinatarios.

      Para obtener más información sobre el filtrado de destinatarios, vea Filtrado de destinatarios en servidores de transporte perimetral.

  • Las aplicaciones cliente que acceden a Active Directory directamente a través de LDAP omitirán la lógica integrada en abps.

  • Como mínimo, la GAL especificada en una ABP debe contener todas las listas de direcciones (incluida la lista de direcciones de sala) especificadas en la ABP (es correcto si la ABP contiene listas de direcciones adicionales). No cree una GAL que contenga menos destinatarios que las listas de direcciones de la misma ABP.

  • Se recomienda no crear grupos de distribución que crucen los límites de la organización virtual. Los grupos que contienen miembros de varias organizaciones virtuales provocan estos problemas:

    • Un miembro del grupo verá las direcciones de correo electrónico de todos los miembros del grupo si solicitan un recibo de entrega o un recibo de lectura cuando envían un mensaje al grupo de distribución.

    • Los mensajes cifrados que se envían al grupo de distribución pueden causar problemas cuando algunos miembros del grupo no tienen identificadores digitales válidos. Por ejemplo, supongamos que un grupo de distribución contiene tres miembros de la Agencia A y dos miembros de la Agencia B. Además, uno de los miembros de la Agencia A y dos de los miembros de la Agencia B tienen identificadores digitales no válidos. Si un miembro de la Agencia A envía un mensaje cifrado al grupo de distribución, recibirá una advertencia de que hay tres destinatarios sin identificadores digitales válidos. Sin embargo, solo aparecerá la dirección de correo electrónico del miembro en la Agencia A en el mensaje de advertencia.

    • Los ABPs no se aplican a todos los usuarios o procesos que usan el cmdlet Get-Group , por lo que estos usuarios verán a todos los miembros de cualquier grupo al que tengan acceso.

      Porque si se produce este problema, se recomienda impedir que los usuarios administren sus propios grupos en Outlook o Outlook en la Web. Para ello, quite la asignación de roles de RBAC MyDistributionGroupMembership de los usuarios. Para obtener más información, vea Administrar directivas de asignación de roles.

      Si permite que los usuarios usen Outlook o Outlook en la Web para administrar grupos, la visibilidad de la lista completa de pertenencia a grupos debe ser correcta para los propietarios del grupo.

  • Todas las ABP deben contener una lista de direcciones de salas. Sin embargo, si su organización no usa listas de direcciones de sala, puede crear una lista de direcciones de sala vacía.

    Nota: La lista de salas necesaria para un ABP es una lista de direcciones que especifica salas (contiene el filtro RecipientDisplayType -eq 'ConferenceRoomMailbox'). No es un grupo de distribución de buscador de salas que se crea con el modificador RoomList en los cmdlets New-DistributionGroup o Set-DistributionGroup . Para obtener más información, consulte Creación y administración de buzones de sala.

  • La implementación de las ABP no impide que los usuarios de una organización virtual envíen correos electrónicos a los usuarios de otra organización virtual. Si quiere evitar que los usuarios envíen correo electrónico entre organizaciones virtuales, se recomienda crear una regla de flujo de correo (también conocida como regla de transporte) que busque los mensajes enviados entre los destinatarios. Por ejemplo, para evitar que los usuarios de Contoso reciban mensajes de usuarios de Fabrikam y viceversa, pero aún así permitir que el equipo directivo sénior de Fabrikam envíe mensajes a los usuarios de Contoso, puede crear la siguiente regla de flujo de correo en el Shell de administración de Exchange:

    New-TransportRule -Name "Ethical Wall: Contoso-Fabrikam" -BetweenMemberOf1 "AllFabrikamEmployees" -BetweenMemberOf2 "AllContosoEmployees" -DeleteMessage -ExceptIfFrom seniorleadership@fabrikam.com

    Para obtener más información sobre las reglas de flujo de correo, vea Reglas de flujo de correo en Exchange Server.

  • Para configurar una característica similar a las directivas de libreta de direcciones en el cliente Skype Empresarial o Lync, puede establecer el atributo msRTCSIP-GroupingID para usuarios específicos. Para obtener más información, vea PartitionByOU Replaced with msRTCSIP-GroupingID.

Pasos de implementación detallados para el escenario 2: Dos empresas que comparten un ceo en una organización de Exchange

Esta sección le guiará por los pasos de implementación del escenario 2: Dos empresas que comparten un ceo en una organización de Exchange. Si recuerda, Fabrikam y Tailspin Toys son empresas independientes que comparten el mismo CEO.

Para obtener información sobre cómo abrir el Shell de administración de Exchange en su organización de Exchange local, consulte Open the Exchange Management Shell.

Paso 1: Instalar y configurar el Agente de enrutamiento de directivas de libreta de direcciones

El Agente de enrutamiento de ABP hace que los usuarios a los que se les asignen distintas ACL aparezcan como destinatarios externos entre sí. Para obtener instrucciones detalladas, consulte Uso del Shell de administración de Exchange para instalar y configurar el Agente de enrutamiento de directivas de libreta de direcciones.

Paso 2: Definir las organizaciones virtuales

En este escenario, el atributo CustomAttribute15 define las organizaciones virtuales: el valor FAB de los destinatarios de Fabrikam, el valor TAIL de los destinatarios de Tailspin Toys y el valor CEO del ceo, que es necesario para que los usuarios de Fabrikam y Tailspin puedan ver al director general. Si no incluye el CEO en las organizaciones virtuales Fabrikam y Tailspin Toys, el director ejecutivo puede ver a todos, pero nadie puede ver al ceo. Para obtener más información sobre el filtrado de destinatarios, vea Filtrado de destinatarios en servidores de transporte perimetral.

Para establecer el valor del atributo CustomAttribute15 para los buzones de Fabrikam y Tailspin Toys, los grupos de distribución, los grupos de distribución dinámicos, los contactos de correo y los usuarios de correo, use la sintaxis siguiente:

$<VariableName> = Get-<RecipientType> -ResultSize Unlimited | where PrimarySMTPAddress -match <fabrikam.com | tailspintoys.com>
$<VariableName> | foreach {Set-<RecipientType> -Identity ($_.GUID).ToString() -CustomAttribute15 <FAB | TAIL>

Notas:

  • El uso del valor GUID del destinatario para el parámetro Identity puede ayudar a evitar colisiones si hay nombres de usuario similares en ambas organizaciones (por ejemplo, julia@fabrikam.com y julia@contoso.com).

  • Los valores de RecipientType> válidos <para los nombres de cmdlet son Mailbox, DistributionGroup, DynamicDistributionGroup, MailContact y MailUser. Debe configurar el valor del atributo CustomAttribute15 para cada tipo de destinatario por separado.

En este ejemplo se establece el valor FAB del atributo CustomAttribute15 en todos los buzones de Fabrikam.

$FAB_MBX = Get-Mailbox -ResultSize Unlimited | where PrimarySMTPAddress -match fabrikam.com
$FAB_MBX | foreach {Set-Mailbox -Identity ($_.GUID).ToString() -CustomAttribute15 FAB}

Paso 3: Crear los elementos necesarios para las directivas de libreta de direcciones

Crear listas de direcciones

Esta organización requiere cuatro listas de direcciones personalizadas:

  • AL_FAB_Users_DGs

  • AL_FAB_Contacts

  • AL_TAIL_Users_DGs

  • AL_TAIL_Contacts

En este ejemplo se crea la lista de direcciones denominada AL_FAB_Users_DGs que contiene todos los usuarios de Fabrikam, los grupos de distribución y los grupos de distribución dinámicos y el director general.

New-AddressList -Name "AL_FAB_Users_DGs" -RecipientFilter "((RecipientType -eq 'UserMailbox') -or (RecipientType -eq 'MailUniversalDistributionGroup') -or (RecipientType -eq 'DynamicDistributionGroup')) -and (CustomAttribute15 -eq 'FAB') -or (CustomAttribute15 -eq 'CEO')"

En este ejemplo se crea la lista de direcciones denominada AL_FAB_Contacts que contiene todos los contactos de correo de Fabrikam.

New-AddressList -Name "AL_FAB_Contacts" -RecipientFilter "(RecipientType -eq 'MailContact') -and (CustomAttribute15 -eq 'FAB')"

En este ejemplo se crea la lista de direcciones denominada AL_TAIL_Users_DGs que contiene todos los usuarios de Tailspin Toys, los grupos de distribución y los grupos de distribución dinámicos y el director general.

New-AddressList -Name "AL_TAIL_Users_DGs" -RecipientFilter "((RecipientType -eq 'UserMailbox') -or (RecipientType -eq 'MailUniversalDistributionGroup') -or (RecipientType -eq 'DynamicDistributionGroup')) -and (CustomAttribute15 -eq 'TAIL') -or (CustomAttribute15 -eq 'CEO')"

En este ejemplo se crea la lista de direcciones denominada AL_TAIL_Contacts que contiene todos los contactos de correo de Tailspin Toys.

New-AddressList -Name "AL_TAIL_Contacts" -RecipientFilter "(RecipientType -eq 'MailContact') -and (CustomAttribute15 -eq 'TAIL')"

Para obtener más información, vea Crear listas de direcciones.

Creación de listas de salas

Esta organización requiere dos listas de salas personalizadas:

  • AL_FAB_Rooms

  • AL_TAIL_Rooms

En este ejemplo se crea la lista de salas denominada AL_FAB_Rooms para los buzones de sala de Fabrikam.

New-AddressList -Name AL_FAB_Rooms -RecipientFilter "(Alias -ne $null) -and (CustomAttribute15 -eq 'FAB') -and (RecipientDisplayType -eq 'ConferenceRoomMailbox') -or (RecipientDisplayType -eq 'SyncedConferenceRoomMailbox')"

En este ejemplo se crea una lista de salas denominada AL_TAIL_Rooms para los buzones de sala de Tailspin Toys.

New-AddressList -Name AL_TAIL_Rooms -RecipientFilter "(Alias -ne $null) -and (CustomAttribute15 -eq 'TAIL') -and (RecipientDisplayType -eq 'ConferenceRoomMailbox') -or (RecipientDisplayType -eq 'SyncedConferenceRoomMailbox')"

Nota: En este ejemplo se crea una lista de salas en blanco denominada AL_BlankRoom si la organización no tiene ningún buzón de sala (una ABP requiere una lista de salas, incluso si está vacía):

New-AddressList -Name AL_BlankRoom -RecipientFilter "(Alias -ne $null) -and ((RecipientDisplayType -eq 'ConferenceRoomMailbox') -or (RecipientDisplayType -eq 'SyncedConferenceRoomMailbox'))"

Para obtener más información sobre la creación de listas de direcciones, vea Crear listas de direcciones.

Creación de listas de disponibilidad

Esta organización requiere dos listas de disponibilidad personalizadas:

  • GAL_FAB

  • GAL_TAIL

En este ejemplo se crea la GAL denominada GAL_FAB para Fabrikam que incluye todos los destinatarios de Fabrikam y permite a los usuarios de Fabrikam ver al director general.

New-GlobalAddressList -Name "GAL_FAB" -RecipientFilter "(CustomAttribute15 -eq 'FAB') -or (CustomAttribute15 -eq 'CEO')"

En este ejemplo se crea la GAL denominada GAL_TAIL para Tailspin Toys que incluye todos los destinatarios de Tailspin Toys y permite a los usuarios de Tailspin Toys ver al director general.

New-GlobalAddressList -Name "GAL_TAIL" -RecipientFilter "(CustomAttribute15 -eq 'TAIL') -or (CustomAttribute15 -eq 'CEO')"

Nota: No use una GAL en un ABP que contenga destinatarios que faltan en las listas de direcciones en el ABP. La combinación de todas las listas de direcciones debe coincidir con los destinatarios de la GAL.

Para obtener más información, consulte Uso del Shell de administración de Exchange para crear listas de direcciones globales.

Creación de OAB

Esta organización requiere dos listas de disponibilidad personalizadas:

  • OAB_FAB

  • OAB_TAIL

En este ejemplo se crea la OAB denominada OAB_FAB para Fabrikam que incluye la GAL de Fabrikam.

New-OfflineAddressBook -Name "OAB_FAB" -AddressLists "GAL_FAB"

En este ejemplo se crea la OAB denominada OAB_TAIL para Tailspin Toys que incluye la GAL Tailspin Toys.

New-OfflineAddressBook -Name "OAB_TAIL" -AddressLists "GAL_TAIL"

Nota: Si desea que los usuarios vean todos los destinatarios de la organización virtual, asegúrese de incluir la GAL en OAB. De lo contrario, puede reducir el tamaño de descarga de la OAB especificando una lista reducida de listas de direcciones que se incluyen en la OAB.

Para obtener más información, consulte Uso del Shell de administración de Exchange para crear libretas de direcciones sin conexión.

Paso 4: Creación de directivas de libreta de direcciones

Esta organización requiere tres ABPs:

Elemento ABP Fabrikam Tailspin Toys Presidente ejecutivo
Nombre ABP_FAB ABP_TAIL ABP_CEO
Lista global de direcciones GAL_FAB GAL_TAIL Libreta de direcciones global predeterminada
Libreta de direcciones sin conexión OAB_FAB OAB_TAIL Libreta de direcciones sin conexión predeterminada
Lista de direcciones de salas AL_FAB_Rooms AL_TAIL_Rooms Todas las salas
Listas de direcciones AL_FAB_Users_DGs
AL_FAB_Contacts		 AL_TAIL_Users_DGs
AL_TAIL_Contacts		 AL_FAB_Users_DGs
AL_FAB_Contacts
AL_TAIL_Users_DGs
AL_TAIL_Contacts

En este ejemplo se crea la ABP denominada ABP_FAB que contiene las listas gal, OAB, lista de salas y direcciones de Fabrikam.

New-AddressBookPolicy -Name "ABP_FAB" -AddressLists "AL_FAB_Users_DGs","AL_FAB_Contacts" -OfflineAddressBook "\OAB_FAB" -GlobalAddressList "\GAL_FAB" -RoomList "\AL_FAB_Rooms"

En este ejemplo se crea la ABP denominada ABP_TAIL que contiene las listas gal, OAB, lista de salas y direcciones de Tailspin Toys.

New-AddressBookPolicy -Name "ABP_TAIL" -AddressLists "AL_TAIL_Users_DGs","AL_TAIL_Contacts" -OfflineAddressBook "\OAB_TAIL" -GlobalAddressList "\GAL_TAIL" -RoomList "\AL_TAIL_Rooms"

En este ejemplo se crea la ABP denominada ABP_CEO que contiene las listas gal, OAB, lista de salas y direcciones para el director general.

New-AddressBookPolicy -Name "ABP_CEO" -AddressLists "AL_FAB_Users_DGs","AL_FAB_Contacts","AL_TAIL_Users_DGs","AL_TAIL_Contacts" -OfflineAddressBook "\Default Offline Address Book" -GlobalAddressList "\Default Global Address List" -RoomList "\All Rooms"

Para obtener más información, vea Procedimientos para directivas de libreta de direcciones en Exchange Server.

Paso 5: Asignar las directivas de libreta de direcciones a buzones

En este ejemplo se asigna el ABP denominado ABP_FAB a todos los buzones de Fabrikam.

$Fab = Get-Mailbox -ResultSize unlimited -Filter "CustomAttribute15 -eq 'FAB'"; $Fab | foreach {Set-Mailbox -Identity $_.Identity -AddressBookPolicy 'ABP_FAB'}

En este ejemplo se asigna el ABP denominado ABP_TAIL a todos los buzones de Tailspin Toys.

$Tail = Get-Mailbox -ResultSize unlimited -Filter "CustomAttribute15 -eq 'TAIL'"; $Tail | foreach {Set-Mailbox -Identity $_.Identity -AddressBookPolicy 'ABP_TAIL'}

En este ejemplo se asigna el ABP denominado ABP_CEO al director general denominado Gabriela Laureano.

Set-Mailbox -Identity "Gabriela Laureano" -AddressBookPolicy "ABP_CEO"

Nota: Si el usuario ya está conectado a Outlook o Outlook en la Web cuando se aplica el ABP a su buzón, tendrá que cerrar y reiniciar la aplicación cliente para poder ver las nuevas listas de direcciones y gal.

Para obtener más información, consulte Asignación de directivas de libreta de direcciones a buzones de correo.

Otras consideraciones

Después de crear o modificar una lista de direcciones o UNA GAL, debe actualizar la pertenencia.

Si la lista de direcciones contiene un gran número de destinatarios (nuestra recomendación es superior a 3000), debe usar el Shell de administración de Exchange para actualizar la lista de direcciones (no el Centro de administración de Exchange). Para obtener más información, vea Actualizar listas de direcciones.

Para actualizar una GAL, siempre debe usar el Shell de administración de Exchange. Para obtener más información, consulte Uso del Shell de administración de Exchange para actualizar las listas globales de direcciones.