Добавление федеративного почтового ящика в группу суперпользователей AD RMS

  • Статья

Область применения: Exchange Server 2013 г.

Чтобы включить следующие функции управления правами на доступ к данным (IRM) в системе Microsoft Exchange Server 2013, вам нужно добавить федеративный почтовый ящик (системный почтовый ящик, созданный программой установки Exchange 2013) в группу суперпользователей в кластере организации для служб управления правами Active Directory (AD RMS).

  • IRM в Microsoft Office Outlook Web App

  • IRM в Exchange ActiveSync

  • Расшифровка отчета журнала

  • Расшифровка транспорта

Можно настроить группу рассылки с включенной поддержкой почты в качестве группы суперпользователей в службе управления правами Active Directory. Участникам группы рассылки предоставляется лицензия на частное использование при запросе лицензии из кластера AD RMS. Это позволит им расшифровать все содержимое, защищенное службами управления правами и опубликованное этим кластером. При использовании существующей группы рассылки или создании новой группы рассылки и ее настройке в качестве группы суперпользователей в службе управления правами Active Directory рекомендуется выделить эту группу рассылки и настроить соответствующие параметры для утверждения, аудита и отслеживания изменений состава участников.

Предупреждение

Настройка группы суперпользователей в службе управления правами Active Directory позволяет участникам группы расшифровывать содержимое, защищенное с помощью IRM. Мы рекомендуем вам принять надлежащие меры для контроля и мониторинга членства в группе и включить аудит для отслеживания изменений в составе участников.

Дополнительные задачи управления, связанные с IRM, см. в разделе Процедуры управления правами на доступ к данным.

Что нужно знать перед началом работы

  • Предполагаемое время выполнения: 15 минут.

  • Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "Группы рассылки" в разделе Разрешения получателей .

  • Кластер службы управления правами Active Directory можно развернуть в лесу Active Directory.

  • Если на кластере AD RMS уже настроена группа суперпользователей, любые изменения состава группы рассылки могут занимать 24 часа до их обновления на кластере AD RMS. Это является результатом кэширования состава группы на кластере.

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.

Совет

Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по адресу Exchange Server.

Действие 1. Использование командной консоли для добавления федеративного почтового ящика в группу рассылки

Если группа рассылки была создана и настроена как группа суперпользователей в кластере AD RMS, федеративный почтовый ящик Exchange 2013 можно добавить в качестве члена этой группы. Если группа суперпользователей не настроена, то необходимо создать группу рассылки и добавить федеративный почтовый ящик в качестве ее члена.

  1. Создайте группу рассылки, выделенную для использования в качестве группы суперпользователей службы управления правами Active Directory (AD RMS). Дополнительные сведения см. в разделе Создание групп рассылки и управление ими.

  2. Добавьте пользователя FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042 в новую группу рассылки. Федеративный почтовый ящик является системным и поэтому не виден в Центре администрирования Exchange. Чтобы добавить его в группу рассылки, необходимо выполнить Add-DistributionGroupMember в командной консоли Exchange.

    В этом примере в группу рассылки ADRMSSuperUsers добавляется федеративный почтовый ящик.

    Add-DistributionGroupMember ADRMSSuperUsers -Member FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042

Дополнительные сведения о синтаксисе и параметрах см. в разделе Add-DistributionGroupMember.

Действие 2. Использование службы управления правами Active Directory для настройки группы суперпользователей

Выполните следующую процедуру на кластере AD RMS. Учетная запись, используемая для выполнения этой процедуры, должна быть участником локальной группы администраторов предприятия AD RMS на сервере AD RMS.

  1. Откройте консоль службы управления правами Active Directory и разверните кластер AD RMS.

  2. В дереве консоли разверните Политики безопасности, затем выберите Суперпользователи.

  3. В области действий нажмите кнопку Включить суперпользователей.

  4. В области результатов выберите пункт Изменить группу суперпользователей, чтобы открыть страницу свойств суперпользователей.

  5. В поле Группа суперпользователей введите адрес электронной почты группы рассылки, созданной с помощью предыдущей процедуры, или нажмите кнопку Обзор, чтобы выбрать группу рассылки.

Как проверить, все ли получилось?

Добавив федеративный почтовый ящик в новую или существующую группу рассылки, используйте командлет Get-DistributionGroupMember, чтобы проверить членство в группе.

Пример проверки членства в группе рассылки см. в подразделе Example 1 раздела справки по командлету Get-DistributionGroupMember.

После настройки группы суперпользователей с помощью службы управления правами Active Directory вы можете использовать следующие способы для проверки того, правильно ли настроена группа суперпользователей. Кроме того, вы можете использовать командлет Test-IRMConfiguration для проверки функциональности IRM.

  • Чтобы проверить, была ли соответствующая группа настроена в качестве группы суперпользователей, воспользуйтесь консолью службы управления правами Active Directory.

  • Чтобы извлечь группу суперпользователей, выполните следующую команду PowerShell на сервере службы управления правами Active Directory.

    Важно!

    Модуль PowerShell ADRMSAdmin доступен в Windows Server 2008 R2 и более поздних версий.

    Import-Module ADRMSAdmin
New-PSDrive -Name MyRmsAdmin -PsProvider AdRmsAdmin -Root https://localhost
Get-ItemProperty -Path MyRmsAdmin:\SecurityPolicy\SuperUser