将联合邮箱添加到 AD RMS 超级用户组

  • 项目

适用于:Exchange Server 2013

要启用以下 Microsoft Exchange Server 2013 信息权限管理 (IRM) 功能,必须将联盟邮箱(一个由 Exchange 2013 安装程序创建的系统邮箱)添加到组织的 Active Directory 权限管理服务 (AD RMS) 群集上的超级用户组:

  • Microsoft Office Outlook Web App 中的 IRM

  • Exchange ActiveSync 中的 IRM

  • 日记报告解密

  • 传输解密

可以在 AD RMS 中将已启用邮件的通讯组配置为超级用户组。 当通讯组成员从 AD RMS 群集请求许可证时,他们将获得所有者使用许可证。 这允许他们解密该群集发布的所有受 RMS 保护的内容。 无论是使用现有通讯组还是创建通讯组并将其配置为 AD RMS 中的超级用户组,我们建议将通讯组专用于此目的,并配置相应的设置来批准、审核和监视成员身份更改。

警告

在 AD RMS 中配置超级用户组允许组成员解密受 IRM 保护的内容。 建议采取适当的措施控制和监视组成员身份,并启用审核以跟踪成员身份更改。

有关与 IRM 相关的其他管理任务,请参阅 信息权限管理过程

开始前,有必要了解什么?

  • 估计完成时间:15 分钟。

  • 您必须先获得权限,然后才能执行此过程或多个过程。 若要查看所需的权限,请参阅 收件人权限主题中的"通讯组"条目。

  • 必须在 Active Directory 林中部署一个 AD RMS 群集。

  • 如果已在 AD RMS 群集上配置了超级用户组,则对通讯组成员身份的任何修改最多可能需要 24 小时才能由 AD RMS 群集刷新。 这是在群集上缓存组成员身份的结果。

  • 若要了解本主题中的过程可能适用的键盘快捷键,请参阅 Exchange 管理中心内的键盘快捷键

提示

是否有任何疑问? 在 Exchange 论坛中寻求帮助。 访问 Exchange Server 的论坛。

步骤 1:使用 Shell 将联合邮箱添加到通讯组

如果已创建通讯组并将其配置为 AD RMS 群集中的超级用户组,则可以将 Exchange 2013 联合身份验证邮箱添加为该组的成员。 如果未配置超级用户组,则必须创建通讯组并将联合邮箱添加为成员。

  1. 创建专用于用作 AD RMS 超级用户组的通讯组。 有关详细信息,请参阅 创建和管理通讯组

  2. 将用户 FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042 添加到新的通讯组。 联合邮箱是系统邮箱,因此在 EAC 中不可见。 若要将其添加到通讯组,必须使用 Shell 中的 Add-DistributionGroupMember cmdlet。

    此示例将联合邮箱添加到 ADRMSSuperUsers 通讯组。

    Add-DistributionGroupMember ADRMSSuperUsers -Member FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042

有关语法和参数的详细信息,请参阅 Add-DistributionGroupMember

步骤 2:使用 AD RMS 设置超级用户组

在 AD RMS 群集上执行以下过程。 用于执行此过程的帐户必须是 AD RMS 服务器上的 AD RMS 企业管理员本地组的成员。

  1. 打开 Active Directory 权限管理服务控制台,并展开 AD RMS 群集。

  2. In the console tree, expand Security Policies, and then click Super Users.

  3. In the action pane, click Enable Super Users.

  4. In the result pane, click Change Super User Group to open the Super Users property sheet.

  5. 在“超级用户组”框中,键入在上一过程中创建的通讯组的电子邮件地址,或单击“浏览”选择通讯组。

如何知道操作成功?

向新的或现有通讯组添加了联盟邮箱之后,使用 Get-DistributionGroupMember cmdlet 检查组的成员身份。

有关如何检查通讯组成员身份的示例,请参阅 Get-DistributionGroupMember 中的 Example 1

使用 AD RMS 设置超级用户组后,可以使用以下方法来验证是否已正确配置超级用户组。 此外,可以使用 Test-IRMConfiguration cmdlet 来验证 IRM 功能。

  • 使用 AD RMS 控制台验证是否已将正确的组配置为超级用户组。

  • 在 AD RMS 服务器上运行以下 PowerShell 命令检索该超级用户组。

    重要

    在 Windows Server 2008 R2 和更高版本上提供了 ADRMSAdmin PowerShell 模块。

    Import-Module ADRMSAdmin
New-PSDrive -Name MyRmsAdmin -PsProvider AdRmsAdmin -Root https://localhost
Get-ItemProperty -Path MyRmsAdmin:\SecurityPolicy\SuperUser