Добавление федеративного почтового ящика в группу суперпользователей службы управления правами Active DirectoryAdd the Federation Mailbox to the AD RMS Super Users Group

Применимо к: Exchange Server 2013Applies to: Exchange Server 2013

Чтобы включить следующие функции управления правами на доступ к данным (IRM) в системе Microsoft Exchange Server 2013, вам нужно добавить федеративный почтовый ящик (системный почтовый ящик, созданный программой установки Exchange 2013) в группу суперпользователей в кластере организации для служб управления правами Active Directory (AD RMS).For the following Microsoft Exchange Server 2013 Information Rights Management (IRM) features to be enabled, you must add the Federation mailbox (a system mailbox created by Exchange 2013 Setup) to the super users group on your organization's Active Directory Rights Management Services (AD RMS) cluster:

  • IRM в Microsoft Office Outlook Web AppIRM in Microsoft Office Outlook Web App

  • IRM в Exchange ActiveSyncIRM in Exchange ActiveSync

  • Расшифровка отчета журналаJournal report decryption

  • Расшифровка транспортаTransport decryption

Можно настроить группу рассылки с включенной поддержкой почты в качестве группы суперпользователей в службе управления правами Active Directory. Участникам группы рассылки предоставляется лицензия на частное использование при запросе лицензии из кластера AD RMS. Это позволит им расшифровать все содержимое, защищенное службами управления правами и опубликованное этим кластером. При использовании существующей группы рассылки или создании новой группы рассылки и ее настройке в качестве группы суперпользователей в службе управления правами Active Directory рекомендуется выделить эту группу рассылки и настроить соответствующие параметры для утверждения, аудита и отслеживания изменений состава участников.You can configure a mail-enabled distribution group as a super users group in AD RMS. Members of the distribution group are granted an owner use license when they request a license from the AD RMS cluster. This allows them to decrypt all RMS-protected content published by that cluster. Whether you use an existing distribution group or create a distribution group and configure it as the super users group in AD RMS, we recommend that you dedicate the distribution group for this purpose and configure the appropriate settings to approve, audit, and monitor membership changes.

Предупреждение

Настройка группы суперпользователей в службе управления правами Active Directory позволяет участникам группы расшифровывать содержимое, защищенное с помощью IRM. Мы рекомендуем вам принять надлежащие меры для контроля и мониторинга членства в группе и включить аудит для отслеживания изменений в составе участников. Вы также можете ограничить нежелательные изменения в составе участников, настроив группу как группу с ограниченным доступом с помощью групповой политики. Дополнительные сведения см. в статье Параметры политики групп с ограниченным доступом.Configuring a super users group in AD RMS allows group members to decrypt IRM-protected content. We recommend that you take adequate measures to control and monitor group membership and enable auditing to track membership changes. You can also limit unwanted changes to group membership by configuring the group as a restricted group using Group Policy. For details, see Restricted Groups Policy Settings.

Дополнительное управление задачи, связанные с IRM содержатся в разделе процедуры управления правами на доступ.For additional management tasks related to IRM, see Information Rights Management procedures.

Что нужно знать перед началом работыWhat do you need to know before you begin?

  • Осталось времени до завершения: 15 минут.Estimated time to complete: 15 minutes.

  • Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в статье Запись "Группы рассылки" в разделе Разрешения получателей.You need to be assigned permissions before you can perform this procedure or procedures. To see what permissions you need, see the "Distribution groups" entry in the Recipients Permissions topic.

  • Кластер службы управления правами Active Directory можно развернуть в лесу Active Directory.An AD RMS cluster must be deployed in the Active Directory forest.

  • Если на кластере AD RMS уже настроена группа суперпользователей, любые изменения состава группы рассылки могут занимать 24 часа до их обновления на кластере AD RMS. Это является результатом кэширования состава группы на кластере.If a super users group is already configured on an AD RMS cluster, any modifications to the distribution group membership can take up to 24 hours to be refreshed by the AD RMS cluster. This is a result of caching the group membership on the cluster.

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts in the Exchange admin center.

Совет

Возникли проблемы? Обращение за помощью в форумах Exchange. Посетите форумы Exchange Server, Exchange Onlineили Exchange Online Protection.Having problems? Ask for help in the Exchange forums. Visit the forums at Exchange Server, Exchange Online, or Exchange Online Protection.

Как это сделать?How do you do this?

Действие 1. Использование командной консоли для добавления федеративного почтового ящика в группу рассылкиStep 1: Use the Shell to add the Federation mailbox to a distribution group

Если группа рассылки была создана и настроена как группа суперпользователей в кластере AD RMS, федеративный почтовый ящик Exchange 2013 можно добавить в качестве члена этой группы. Если группа суперпользователей не настроена, то необходимо создать группу рассылки и добавить федеративный почтовый ящик в качестве ее члена.If a distribution group has been created and configured as a super users group in the AD RMS cluster, you can add the Exchange 2013 Federation mailbox as a member of that group. If a super users group isn't configured, you must create a distribution group and add the Federation mailbox as a member.

  1. Создание группы рассылки, выделенного для использования в качестве группы пользователей службы управления правами. Дополнительные сведения см Создание и управление группами рассылки.Create a distribution group dedicated for use as an AD RMS super users group. For details, see Create and manage distribution groups.

  2. Добавьте пользователя FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042 в новую группу рассылки. Федеративный почтовый ящик является системным и поэтому не виден в Центре администрирования Exchange. Чтобы добавить его в группу рассылки, необходимо выполнить Add-DistributionGroupMember в командной консоли Exchange.Add the user FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042 to the new distribution group. The Federation mailbox is a system mailbox, and therefore not visible in the EAC. To add it to a distribution group, you must use the Add-DistributionGroupMember cmdlet from the Shell.

    В этом примере в группу рассылки ADRMSSuperUsers добавляется федеративный почтовый ящик.This example adds the Federation mailbox to the ADRMSSuperUsers distribution group.

        Add-DistributionGroupMember ADRMSSuperUsers -Member FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042
    

Дополнительные сведения о синтаксисе и параметрах см. в разделе Add-DistributionGroupMember.For detailed syntax and parameter information, see Add-DistributionGroupMember.

Действие 2. Использование службы управления правами Active Directory для настройки группы суперпользователейStep 2: Use AD RMS to set up a super users group

Выполните следующую процедуру на кластере AD RMS. Учетная запись, используемая для выполнения этой процедуры, должна быть участником локальной группы администраторов предприятия AD RMS на сервере AD RMS.Perform the following procedure on an AD RMS cluster. The account used to perform this procedure must be a member of the AD RMS Enterprise Administrators local group on the AD RMS server.

  1. Откройте консоль службы управления правами Active Directory и разверните кластер AD RMS.Open the Active Directory Rights Management Services console and expand the AD RMS cluster.

  2. В дереве консоли разверните Политики безопасности, затем выберите Суперпользователи.In the console tree, expand Security Policies, and then click Super Users.

  3. В области действий нажмите кнопку Включить суперпользователей.In the action pane, click Enable Super Users.

  4. В области результатов выберите пункт Изменить группу суперпользователей, чтобы открыть страницу свойств суперпользователей.In the result pane, click Change Super User Group to open the Super Users property sheet.

  5. В поле Группа суперпользователей введите адрес электронной почты группы рассылки, созданной с помощью предыдущей процедуры, или нажмите кнопку Обзор, чтобы выбрать группу рассылки.In the Super user group box, type the email address of the distribution group you created in the previous procedure, or click Browse to select a distribution group.

Как проверить, что все получилось?How do you know this worked?

Добавив федеративный почтовый ящик в новую или существующую группу рассылки, используйте командлет Get-DistributionGroupMember, чтобы проверить членство в группе.After you have added the Federation mailbox to a new or existing distribution group, use the Get-DistributionGroupMember cmdlet to check the membership of the group.

Пример проверки членства в группе рассылки см. в подразделе Example 1 раздела справки по командлету Get-DistributionGroupMember.For an example of how to check distribution group membership, see Example 1 in Get-DistributionGroupMember.

После настройки группы суперпользователей с помощью службы управления правами Active Directory вы можете использовать следующие способы для проверки того, правильно ли настроена группа суперпользователей. Кроме того, вы можете использовать командлет Test-IRMConfiguration для проверки функциональности IRM.After you have used AD RMS to set up a super users group, you can use the following methods to verify that the super users group has been configured correctly. Additionally, you can use Test-IRMConfiguration cmdlet to verify IRM functionality.

  • Чтобы проверить, была ли соответствующая группа настроена в качестве группы суперпользователей, воспользуйтесь консолью службы управления правами Active Directory.Use the AD RMS console to verify that the correct group has been configured as the super users group.

  • Чтобы извлечь группу суперпользователей, выполните следующую команду PowerShell на сервере службы управления правами Active Directory.Run the following PowerShell command on an AD RMS server to retrieve the super users group.

    Важно!

    Модуль PowerShell ADRMSAdmin доступен в Windows Server 2008 R2 и более поздних версий.The ADRMSAdmin PowerShell module is available in Windows Server 2008 R2 and later.

        Import-Module ADRMSAdmin
        New-PSDrive -Name MyRmsAdmin -PsProvider AdRmsAdmin -Root https://localhost 
        Get-ItemProperty -Path MyRmsAdmin:\SecurityPolicy\SuperUser