Сценарий. Развертывание политик адресной книги в Exchange Server

  • Статья

Сценарии в этом разделе описывают решения для развертывания политик адресных книг (ASP) в трех наиболее распространенных типах организаций, в которых несколько организаций (компании, государственные учреждения, учебные классы и т. д.) совместно используют общую среду Exchange. Во всех сценариях фильтр получателей делит получателей на отдельные виртуальные организации, которые затем определяют ASP, применяемые к пользователям в этих виртуальных организациях. Дополнительные сведения о фильтрах получателей и виртуальных организациях см. в разделе Рекомендации и рекомендации по политикам адресной книги далее в этом разделе.

Дополнительные сведения о ASP см. в разделе Политики адресной книги в Exchange Server. Процедуры ABP см. в разделе Процедуры для политик адресной книги в Exchange Server.

Сценарий 1. Две отдельные компании в одной организации Exchange

Этот сценарий применяется к компаниям или подразделениям, которые используют одну и ту же среду Exchange, но не имеют общих сотрудников или руководителей. Кроме того, в подразделениях нет особых требований к безопасности или конфиденциальности.

В этом сценарии Contoso и Humongous Insurance являются двумя отдельными компаниями, которые используют одну и ту же среду Exchange. AbP для каждой компании позволяет сотрудникам одной компании видеть только членов одной компании в глобальном списке адресов (GAL) в Outlook и Outlook в Интернете (ранее известный как Outlook Web App). Все группы рассылки принадлежат одной или другой компании, и ни одна группа рассылки не содержит участников из обеих компаний.

Две компании и одна организация Exchange.

В таблице ниже приведены данные о глобальном списке адресов, автономной адресной книге, списке помещений и списках адресов, которые требуются для политик адресных книг в этом сценарии:

Элемент политики адресных книг Contoso Humongous Insurance
Глобальный список адресов GAL_CON GAL_HI
Автономная адресная книга OAB_CON OAB_HI
Список помещений AL_CON_Rooms AL_HI_Rooms
Списки адресов AL_CON_Groups
AL_CON_Users
AL_CON_Contacts		 AL_HI_Groups
AL_HI_Users
AL_HI_Contacts

Сценарий 2. Две компании совместно используют генерального директора в одной организации Exchange

Этот сценарий применяется к компаниям или подразделениям, которые совместно используют среду Exchange, и единственные сотрудники, как правило, находятся в высшем руководстве.

В этом сценарии Fabrikam и Tailspin Toys являются отдельными компаниями в одной среде Exchange, которые совместно используют одного и того же генерального директора, который является единственным общим человеком между двумя компаниями. В этом сценарии используются три ASP, которые имеют следующие требования:

  • При просмотре глобального списка адресов сотрудники одной компании могут видеть получателей только из своей компании. При этом сотрудники обеих компаний могут видеть исполнительного директора в глобальном списке адресов и группах рассылки.

  • Генеральный директор может видеть всех получателей в обеих компаниях, может создавать группы распространения, охватывающие обе компании, и группы отображаются в списке глобальных адресов каждой компании. Однако участники группы видят только других участников из соответствующей компании (участники группы из другой компании скрыты).

  • Пользователи, просматривающие участие исполнительного директора в группах, будут видеть только группы в своей компании. Группы в другой компании им не видны.

  • В каждой компании есть группа рассылки Senior Leadership, в которую входят руководители компании и исполнительный директор.

  • Имена трех используемых политик адресных книг: ABP_FAB, ABP_TAIL и ABP_CEO.

Две компании один генеральный директор.

В таблице ниже приведены данные о глобальном списке адресов, автономной адресной книге, списке помещений и списках адресов, которые требуются для политик адресных книг в этом сценарии.

Элемент политики адресных книг Fabrikam Tailspin Toys Директор
Имя ABP_FAB AB_TAIL ABP_CEO
Глобальный список адресов GAL_FAB GAL_TAIL Глобальная адресная книга по умолчанию
Автономная адресная книга OAB_FAB OAB_TAIL Автономная адресная книга по умолчанию
Список адресов помещений AL_FAB_Rooms AL_TAIL_Rooms Все помещения
Списки адресов AL_FAB_Users_DGs
AL_FAB_Contacts		 AL_TAIL_Users_DGs
AL_TAIL_Contacts		 AL_FAB_Users_DGs
AL_FAB_Contacts
AL_TAIL_Users_DGs
AL_TAIL_Contacts

Полное пошаговое руководство по созданию необходимых элементов для этого сценария см. в разделе Пошаговая инструкция по развертыванию сценария 2. Две компании, у которых общий исполнительный директор в одной организации Exchange в конце этой статьи.

Сценарий 3. Учебные заведения

Этот сценарий применяется в учебных заведениях, в которых требуется разделить классы, чтобы обеспечить конфиденциальность учащихся. Сценарий содержит следующие требования:

  • Учащиеся в каждом классе могут видеть только других учащихся своего класса, своего преподавателя и директора.

  • Преподаватели могут видеть только учащихся в своих классах.

  • Преподаватели могут видеть всех остальных преподавателей и директора.

  • Для родителей и преподавателей каждого класса создаются группы рассылки.

Сценарий обучения политик адресной книги.

В таблице ниже приведены данные о глобальном списке адресов, автономной адресной книге, списке помещений и списках адресов, которые требуются для политик адресных книг в этом сценарии.

Элемент политики адресных книг Students_ClassA Teachers_ClassA Principal
Глобальный список адресов GAL_StudentsClassA GAL_TeachersClassA GAL_Everyone
Автономная адресная книга OAB_StudentsClassA OAB_TeachersClassA Автономная адресная книга по умолчанию
Список адресов помещений AL_BlankRoom AL_BlankRoom Все помещения
Списки адресов AL_ClassAAL_Principal AL_ClassAAL_AllTeachersAL_AllGroupsAL_Principal AL_ClassA
AL_ClassB
AL_AllTeachers
AL_AllStudents
AL_AllGroups

Рекомендации для политик адресных книг

Ниже приведены важные факторы, которые следует учитывать при использовании политик адресных книг в своей организации:

  • Нельзя одновременно использовать иерархические адресные книги и политики адресных книг. Дополнительные сведения см. в статье Understanding Hierarchical Address Books.

  • Пользователь, которому назначена политика адресных книг, должен присутствовать в глобальном списке адресов, заданном для этой политики адресных книг.

  • Если вы создаете ASP в организации и не назначаете abp некоторым пользователям, эти получатели смогут просматривать все списки адресов.

  • Чтобы разделить получателей на виртуальные организации, мы рекомендуем использовать для них атрибуты с CustomAttribute1 по CustomAttribute15. Эти атрибуты эффективнее, чем другие предустановленные условные атрибуты, например Company, Department или StateOrProvince, так как:

    • Не все типы получателей поддерживают атрибуты Company, Department или StateOrProvince (например, группы рассылки, динамические группы рассылки и общедоступные папки с поддержкой почты).

    • Пользователи не могут настраивать атрибуты с CustomAttribute1 по CustomAttribute15 в своих почтовых ящиках, поэтому эти атрибуты полностью контролируются администраторами.

    • Даже тем типам получателей, которые поддерживают атрибуты Company, Department или StateOrProvince, требуются другие командлеты для их настройки.

      Например, чтобы настроить значения для атрибутов Company, Department или StateOrProvince для почтовых ящиков, пользователей почты или почтовых контактов, нельзя использовать командлеты Set-Mailbox, Set-MailUser или Set-MailContact. Вместо этого следует использовать командлеты Set-User и Set-Contact. В то же время для всех типов получателей доступны параметры с CustomAttribute1 по CustomAttribute15 для соответствующих командлетов Set-*.

      Дополнительные сведения о фильтрации получателей см. в разделе Фильтрация получателей на пограничных транспортных серверах.

  • Клиентские приложения, которые обращаются к Active Directory напрямую через LDAP, будут обходить логику, встроенную в ASP.

  • Глобальный список адресов, указанный в политике адресных книг, должен по меньшей мере содержать все списки адресов (включая список адресов помещений), указанные в политике адресных книг (считается нормой, если политика адресных книг содержит дополнительные списки адресов). Не создавайте глобальный список адресов, который содержит меньше получателей, чем списков адресов в одной политике адресных книг.

  • Мы не рекомендуем создавать группы рассылки, которые выходят за пределы виртуальной организации. Создание групп рассылки из участников различных виртуальных организаций приведет к возникновению следующих проблем:

    • Если участник группы запрашивает уведомление о доставке или прочтении при отправке сообщения в группу рассылки, он увидит адреса электронной почты всех участников группы.

    • Зашифрованные сообщения, отправляемые в группу рассылки, могут вызвать проблемы, если у некоторых участников группы нет допустимых цифровых идентификаторов. Например, предположим, что группа рассылки содержит трех членов из агентства A и двух членов из агентства B. Кроме того, один из членов агентства A и два члена агентства B имеют недопустимые цифровые идентификаторы. Если участник из агентства A отправляет зашифрованные сообщения в группу рассылки, он получит предупреждение о том, что есть три получателя без допустимых цифровых идентификаторов. Однако в предупреждающем сообщении будет отображаться только адрес электронной почты участника агентства A.

    • Политики адресных книг не применяются ко всем пользователям или процессам, использующим командлет Get-Group, поэтому пользователь увидит всех участников любой группы, к которой у него есть доступ.

      Так как в этом случае рекомендуется запретить пользователям управлять собственными группами в Outlook или Outlook в Интернете. Для этого удалите назначение роли RBAC MyDistributionGroupMembership для пользователей. Дополнительные сведения см. в статье Управление политиками назначения ролей.

      Если вы разрешаете пользователям использовать Outlook или Outlook в Интернете для управления группами, видимость полного списка членства в группах должна быть нормальной для владельцев групп.

  • Все политики адресных книг должны содержать список адресов помещений. Однако, если в организации не используются списки адресов помещений, можно создать пустой список адресов помещений.

    Примечание. Список помещений, необходимый для ABP, — это список адресов, указывающий комнаты (содержит фильтр RecipientDisplayType -eq 'ConferenceRoomMailbox'). Это не группа рассылки для поиска помещений, созданная с помощью параметра RoomList в командлетах New-DistributionGroup или Set-DistributionGroup . Дополнительные сведения см. в статье Создание почтовых ящиков комнат и управление ими.

  • Развертывание политик адресных книг не помешает пользователям одной виртуальной организации отправлять электронную почту пользователям другой виртуальной организации. Если вы хотите запретить пользователям отправлять электронную почту между виртуальными организациями, рекомендуем создать правило потока обработки почты (также называемого правилом транспорта), которое отслеживает сообщения, отправленные между получателями. Например, чтобы запретить пользователям Contoso получать сообщения от пользователей Fabrikam и наоборот, но по-прежнему разрешить группе старших руководителей Fabrikam отправлять сообщения пользователям Contoso, можно создать следующее правило потока обработки почты в командной консоли Exchange:

    New-TransportRule -Name "Ethical Wall: Contoso-Fabrikam" -BetweenMemberOf1 "AllFabrikamEmployees" -BetweenMemberOf2 "AllContosoEmployees" -DeleteMessage -ExceptIfFrom seniorleadership@fabrikam.com

    Дополнительные сведения о правилах потока обработки почты см. в разделе Правила потока обработки почты в Exchange Server.

  • Чтобы настроить функцию, аналогичную политикам адресной книги в Skype для бизнеса или клиенте Lync, можно задать атрибут msRTCSIP-GroupingID для определенных пользователей. Дополнительные сведения см. в разделе PartitionByOU Replaced with msRTCSIP-GroupingID.

Подробные шаги по развертыванию для сценария 2. Две компании совместно используют генерального директора в одной организации Exchange

В этом разделе описаны шаги по развертыванию сценария 2. Две компании, совместно использующие генерального директора в одной организации Exchange. Если вы помните, Fabrikam и Tailspin Toys являются отдельными компаниями, которые разделяют одного генерального директора.

Сведения о том, как открыть командную консоль Exchange в локальной организации Exchange, см. в статье Open the Exchange Management Shell.

Этап 1. Установка и настройка агента маршрутизации политики адресных книг

При включенном агенте маршрутизации политики адресных книг пользователи, которым назначены различные глобальные списки адресов, будут отображаться друг другу как внешние получатели. Подробные инструкции см. в разделе Установка и настройка агента маршрутизации политик адресных книг с помощью командной консоли Exchange.

Этап 2. Определение виртуальных организаций

В этом сценарии атрибут CustomAttribute15 определяет виртуальные организации: значение FAB для получателей Fabrikam, значение TAIL для получателей Tailspin Toys и значение CEO для генерального директора, которое необходимо, чтобы пользователи Fabrikam и Tailspin могли видеть генерального директора. Если вы не включаете генерального директора в виртуальные организации Fabrikam и Tailspin Toys, генеральный директор может видеть всех, но никто не может видеть генерального директора. Дополнительные сведения о фильтрации получателей см. в разделе Фильтрация получателей на пограничных транспортных серверах.

Чтобы задать значение атрибута CustomAttribute15 для почтовых ящиков Fabrikam и Tailspin Toys, групп рассылки, динамических групп рассылки, почтовых контактов и почтовых пользователей, используйте следующий синтаксис:

$<VariableName> = Get-<RecipientType> -ResultSize Unlimited | where PrimarySMTPAddress -match <fabrikam.com | tailspintoys.com>
$<VariableName> | foreach {Set-<RecipientType> -Identity ($_.GUID).ToString() -CustomAttribute15 <FAB | TAIL>

Примечания.

  • Использование значения GUID получателя для параметра Identity поможет избежать конфликтов при наличии одинаковых имен пользователей в обеих организациях (например, julia@fabrikam.com и julia@contoso.com).

  • Допустимые <значения RecipientType> для имен командлетов: Mailbox, DistributionGroup, DynamicDistributionGroup, MailContact и MailUser. Необходимо настроить значение атрибута CustomAttribute15 для каждого типа получателя отдельно.

В этом примере задается значение FAB атрибута CustomAttribute15 во всех почтовых ящиках Fabrikam.

$FAB_MBX = Get-Mailbox -ResultSize Unlimited | where PrimarySMTPAddress -match fabrikam.com
$FAB_MBX | foreach {Set-Mailbox -Identity ($_.GUID).ToString() -CustomAttribute15 FAB}

Этап 3. Создание необходимых элементов для политик адресных книг

Создание списков адресов

Этой организации требуются четыре настраиваемых списка адресов:

  • AL_FAB_Users_DGs

  • AL_FAB_Contacts

  • AL_TAIL_Users_DGs

  • AL_TAIL_Contacts

В этом примере создается список адресов с именем AL_FAB_Users_DGs, содержащий всех пользователей Fabrikam, групп рассылки, динамических групп рассылки и генерального директора.

New-AddressList -Name "AL_FAB_Users_DGs" -RecipientFilter "((RecipientType -eq 'UserMailbox') -or (RecipientType -eq 'MailUniversalDistributionGroup') -or (RecipientType -eq 'DynamicDistributionGroup')) -and (CustomAttribute15 -eq 'FAB') -or (CustomAttribute15 -eq 'CEO')"

В этом примере создается список адресов AL_FAB_Contacts, содержащий все почтовые контакты Fabrikam.

New-AddressList -Name "AL_FAB_Contacts" -RecipientFilter "(RecipientType -eq 'MailContact') -and (CustomAttribute15 -eq 'FAB')"

В этом примере создается список адресов с именем AL_TAIL_Users_DGs, содержащий всех пользователей Tailspin Toys, групп рассылки, динамических групп рассылки и генерального директора.

New-AddressList -Name "AL_TAIL_Users_DGs" -RecipientFilter "((RecipientType -eq 'UserMailbox') -or (RecipientType -eq 'MailUniversalDistributionGroup') -or (RecipientType -eq 'DynamicDistributionGroup')) -and (CustomAttribute15 -eq 'TAIL') -or (CustomAttribute15 -eq 'CEO')"

В этом примере создается список адресов AL_TAIL_Contacts, содержащий все почтовые контакты Tailspin Toys.

New-AddressList -Name "AL_TAIL_Contacts" -RecipientFilter "(RecipientType -eq 'MailContact') -and (CustomAttribute15 -eq 'TAIL')"

Подробнее см. в разделе Создание списков адресов.

Создание списков помещений

Этой организации требуется два настраиваемых списка помещений:

  • AL_FAB_Rooms

  • AL_TAIL_Rooms

В этом примере создается список помещений AL_FAB_Rooms для почтовых ящиков помещений Fabrikam.

New-AddressList -Name AL_FAB_Rooms -RecipientFilter "(Alias -ne $null) -and (CustomAttribute15 -eq 'FAB') -and (RecipientDisplayType -eq 'ConferenceRoomMailbox') -or (RecipientDisplayType -eq 'SyncedConferenceRoomMailbox')"

В этом примере создается список помещений AL_TAIL_Rooms для почтовых ящиков помещений Tailspin Toys.

New-AddressList -Name AL_TAIL_Rooms -RecipientFilter "(Alias -ne $null) -and (CustomAttribute15 -eq 'TAIL') -and (RecipientDisplayType -eq 'ConferenceRoomMailbox') -or (RecipientDisplayType -eq 'SyncedConferenceRoomMailbox')"

Примечание. В этом примере создается пустой список помещений AL_BlankRoom, если в организации отсутствуют почтовые ящики помещений (для создания политики адресных книг необходимо предоставить список помещений, даже если он будет пустым):

New-AddressList -Name AL_BlankRoom -RecipientFilter "(Alias -ne $null) -and ((RecipientDisplayType -eq 'ConferenceRoomMailbox') -or (RecipientDisplayType -eq 'SyncedConferenceRoomMailbox'))"

Дополнительные сведения о создании списков адресов см. в разделе Создание списков адресов.

Создание глобальных списков адресов

Этой организации требуется два настраиваемых глобальных списка адресов:

  • GAL_FAB

  • GAL_TAIL

В этом примере создается gal с именем GAL_FAB для Fabrikam, который включает всех получателей Fabrikam и позволяет пользователям Fabrikam видеть генерального директора.

New-GlobalAddressList -Name "GAL_FAB" -RecipientFilter "(CustomAttribute15 -eq 'FAB') -or (CustomAttribute15 -eq 'CEO')"

В этом примере создается gal с именем GAL_TAIL для Tailspin Toys, который включает всех получателей Tailspin Toys и позволяет пользователям Tailspin Toys видеть генерального директора.

New-GlobalAddressList -Name "GAL_TAIL" -RecipientFilter "(CustomAttribute15 -eq 'TAIL') -or (CustomAttribute15 -eq 'CEO')"

Примечание. Не используйте глобальный список адресов в ABP, который содержит получателей, отсутствующих в списках адресов в ABP. Сочетание всех списков адресов должно соответствовать получателям в глобальном списке адресов.

Дополнительные сведения см. в разделе Создание глобальных списков адресов с помощью командной консоли Exchange.

Создание автономных адресных книг

Этой организации требуется два настраиваемых глобальных списка адресов:

  • OAB_FAB

  • OAB_TAIL

В этом примере создается автономная адресная книга OAB_FAB для Fabrikam, включающая глобальный список адресов Fabrikam.

New-OfflineAddressBook -Name "OAB_FAB" -AddressLists "GAL_FAB"

В этом примере создается автономная адресная книга OAB_TAIL для Tailspin Toys, включающая глобальный список адресов Tailspin Toys.

New-OfflineAddressBook -Name "OAB_TAIL" -AddressLists "GAL_TAIL"

Примечание: Если вы хотите, чтобы пользователи видели всех получателей в виртуальной организации, убедитесь, что вы включили глобальный список адресов в автономную адресную книгу. В противном случае размер скачивания автономной адресной книги можно уменьшить, указав сокращенный перечень списков адресов, включенных в автономную адресную книгу.

Дополнительные сведения см. в разделе Создание автономных адресных книг с помощью командной консоли Exchange.

Этап 4. Создание политик адресных книг

Этой организации требуются три политики адресных книг:

Элемент политики адресных книг Fabrikam Tailspin Toys Директор
Имя ABP_FAB ABP_TAIL ABP_CEO
Глобальный список адресов GAL_FAB GAL_TAIL Глобальная адресная книга по умолчанию
Автономная адресная книга OAB_FAB OAB_TAIL Автономная адресная книга по умолчанию
Список адресов помещений AL_FAB_Rooms AL_TAIL_Rooms Все помещения
Списки адресов AL_FAB_Users_DGs
AL_FAB_Contacts		 AL_TAIL_Users_DGs
AL_TAIL_Contacts		 AL_FAB_Users_DGs
AL_FAB_Contacts
AL_TAIL_Users_DGs
AL_TAIL_Contacts

В этом примере создается политика адресных книг ABP_FAB, содержащая глобальный список адресов, автономную адресную книгу, список помещений и списки адресов компании Fabrikam.

New-AddressBookPolicy -Name "ABP_FAB" -AddressLists "AL_FAB_Users_DGs","AL_FAB_Contacts" -OfflineAddressBook "\OAB_FAB" -GlobalAddressList "\GAL_FAB" -RoomList "\AL_FAB_Rooms"

В этом примере создается политика адресных книг ABP_TAIL, содержащая глобальный список адресов, автономную адресную книгу, список помещений и списки адресов компании Tailspin Toys.

New-AddressBookPolicy -Name "ABP_TAIL" -AddressLists "AL_TAIL_Users_DGs","AL_TAIL_Contacts" -OfflineAddressBook "\OAB_TAIL" -GlobalAddressList "\GAL_TAIL" -RoomList "\AL_TAIL_Rooms"

В этом примере создается политика адресных книг ABP_CEO, содержащая глобальный список адресов, автономную адресную книгу, список помещений и списки адресов исполнительного директора.

New-AddressBookPolicy -Name "ABP_CEO" -AddressLists "AL_FAB_Users_DGs","AL_FAB_Contacts","AL_TAIL_Users_DGs","AL_TAIL_Contacts" -OfflineAddressBook "\Default Offline Address Book" -GlobalAddressList "\Default Global Address List" -RoomList "\All Rooms"

Дополнительные сведения см. в разделе Процедуры для политик адресной книги в Exchange Server.

Этап 5. Назначение политик адресных книг почтовым ящикам

В этом примере всем почтовым ящикам Fabrikam назначается политика адресных книг ABP_FAB.

$Fab = Get-Mailbox -ResultSize unlimited -Filter "CustomAttribute15 -eq 'FAB'"; $Fab | foreach {Set-Mailbox -Identity $_.Identity -AddressBookPolicy 'ABP_FAB'}

В этом примере всем почтовым ящикам Tailspin Toys назначается политика адресных книг ABP_TAIL.

$Tail = Get-Mailbox -ResultSize unlimited -Filter "CustomAttribute15 -eq 'TAIL'"; $Tail | foreach {Set-Mailbox -Identity $_.Identity -AddressBookPolicy 'ABP_TAIL'}

В этом примере исполнительному директору по имени Gabriela Laureano назначается политика адресных книг ABP_CEO.

Set-Mailbox -Identity "Gabriela Laureano" -AddressBookPolicy "ABP_CEO"

Примечание. Если пользователь уже подключен к Outlook или Outlook в Интернете, когда ABP применяется к его почтовому ящику, ей необходимо закрыть и перезапустить клиентское приложение, чтобы увидеть новые списки адресов и глобальный список адресов.

Подробнее см. в разделе Назначение политик адресных книг почтовым ящикам.

Другие особенности

После создания или изменения списка адресов или глобального списка адресов необходимо обновить членство.

Если список адресов содержит большое количество получателей (наша рекомендация — более 3000), следует использовать командную консоль Exchange, чтобы обновить список адресов (а не Центр администрирования Exchange). Дополнительные сведения см. в разделе Обновление списков адресов.

Чтобы обновить глобальный список адресов, всегда необходимо использовать командную консоль Exchange. Дополнительные сведения см. в статье Обновление глобальных списков адресов с помощью командной консоли Exchange.