Управление развертываниями Exchange с несколькими лесами с помощью центра администрирования Exchange
Дата публикации исходной статьи: пятница, 31 августа 2012 г.
В предыдущей статье мы представили вам новый центр администрирования Exchange (EAC). Теперь мы хотим рассказать вам о том, как использовать новый компонент EAC для управления развертываниями Exchange с несколькими лесами.
Как описывается в статье, посвященной развертыванию Exchange 2010 в межлесной топологии, решение Exchange Server 2010 можно развернуть в межлесной топологии или топологии леса ресурсов. В этой статье мы применяем подход к развертыванию топологии леса ресурсов, описываемый в статье, посвященной новому выпуску Exchange.
Сначала мы организуем показанную ниже среду леса ресурсов с односторонним отношением доверия леса B к лесу A.
Рис. 1.Структура топологии леса ресурсов Exchange
Лес A предназначен для хранения и подготовки всех учетных записей пользователей. В нем не установлен сервер Exchange. Лес B — это лес ресурсов, в котором установлен сервер Exchange Server 2013 и хранятся связанные почтовые ящики для всех учетных записей пользователей из леса A. В лесу B не осуществляется подготовка учетных записей пользователей.
В лабораторной среде мы настроим пользователя John Doe в лесу A. Назначим его администратором Exchange. Для этого нам необходимо применить к этому пользователю соответствующие привилегии управления доступом на основе ролей (RBAC) в лесу ресурсов Exchange. Поскольку мы имеем дело со средой с несколькими лесами, настроить RBAC можно двумя способами. Рассмотрим каждый из них:
- Использование связанных почтовых ящиков
- Использование связанных групп ролей
В лесу учетных записей мы настраиваем пользователей. При настройке связанных почтовых ящиков для таких пользователей они будут представлены в лесу ресурсов Exchange. Добавьте связанные почтовые ящики в существующие группы ролей RBAC, чтобы назначить соответствующих пользователей администраторами Exchange.
Использование связанных почтовых ящиков
На следующем рисунке в лесу учетных записей настроена учетная запись пользователя John Doe. Администратор Exchange с помощью EAC может создать для этого пользователя связанный почтовый ящик (см. ниже).
Рис. 2. Настройка связанного почтового ящика для пользователя John Doe.
После этого администратор может добавить почтовый ящик этого пользователя в любую встроенную группу административных ролей RBAC, в результате чего этот пользователь будет назначен администратором Exchange. На следующем рисунке пользователь John Doe включен во встроенную группу ролей "Управление организацией" (Organization Management).
Рис. 3. Пользователь John Doe добавлен в группу ролей "Управление организацией" (Organization Management).
Попробуем выполнить вход в центр администрирования EAC под учетной записью этого пользователя. Поскольку теперь ему назначены привилегии администратора Exchange, мы получим следующий экран.
Рис. 4. Вход в центр администрирования Exchange под учетной записью пользователя John Doe, которая настроена как связанный почтовый ящик и включена в группу ролей "Управление организацией" (Organization Management).
Использование связанных групп ролей
Связанные группы ролей представляют собой обычные группы ролей, которые привязаны к универсальной группе безопасности (USG) через границы леса. Таким образом, участники этой группы USG фактически становятся участниками связанных групп ролей. Например, если пользователь John Doe входит в такую группу USG, он автоматически получает из связанных групп ролей все разрешения управления доступом на основе ролей (RBAC) в лесу ресурсов Exchange. Соответственно, применение связанных групп ролей позволяет управлять сложными топологиями Exchange с несколькими лесами при помощи небольшого набора универсальных групп безопасности в одном лесу.
Приведем пример, подтверждающий вышесказанное:
- С помощью средства управления "Пользователи и компьютеры Active Directory" (Active Directory Users and Computers, ADUC) мы создадим в лесу учетных записей универсальную группу безопасности с именем AdminSG, которая будет представлять группу администраторов Exchange. Включим пользователя John Doe в группу AdminSG.
- В лесу ресурсов мы настроим отдельную связанную группу ролей на основе встроенной группы ролей "Управление организацией" (Organization Management) и сопоставим ее с группой AdminSG с помощью следующих команд командной консоли Exchange:
$accountForestCredential = Get-Credential
$OrgMgmt = Get-RoleGroup "Organization Management"
New-RoleGroup "Organization Management - Linked" -LinkedForeignGroup "AdminSG" -LinkedDomainController bjex062.extest.microsoft.com -LinkedCredential $accountForestCredential -Roles $OrgMgmt.Roles
Get-ManagementRoleAssignment -RoleAssignee "Organization Management - Linked" -Role My* | Remove-ManagementRoleAssignment
Get-ManagementRole | New-ManagementRoleAssignment -SecurityGroup "Organization Management - Linked" -Delegating
После выполнения этих шагов пользователю John Doe будут присвоены все привилегии управления доступом на основе ролей (RBAC) в лесу ресурсов Exchange даже несмотря на то, что соответствующая ему учетная запись размещается в лесу учетных записей.
Далее попробуем выполнить вход в центр администрирования Exchange под учетной записью пользователя John Doe. Запустим центр администрирования Exchange с любого настольного ПК и свяжем его с сервером клиентского доступа в лесу ресурсов. Будет выполнен вход. Пользователю John Doe будут назначены стандартные привилегии управления доступом на основе ролей, которые определены в группе ролей RBAC "Управление организацией" (Organization Management). После этого данный пользователь может управлять приложением Exchange в лесу ресурсов.
Рис. 5. Вход в центр администрирования Exchange под учетной записью пользователя John Doe с использованием связанной группы ролей "Управление организацией" (Organization Management).
Теперь вы можете попробовать возможности центра администрирования Exchange!
Как можно видеть, EAC обеспечивает удобное управление развертываниями Exchange с несколькими лесами. Для управления отдельными лесами Exchange вам не потребуется удаленный доступ к выделенным серверам и не нужно создавать специальные административные учетные записи в каждом лесу ресурсов Exchange. Все это вы можете сделать прямо со своего ПК с использованием ваших учетных данных пользователя в центре администрирования Exchange!
EAC доступен в последней загружаемой версии Exchange 2013 Preview, а также в рамках предложения Office 365 Customer Preview. В ближайшие недели мы планируем выпуск новых статей, посвященных работе с центром администрирования Exchange. Пока же вы можете ознакомиться с возможностями этого нового инструмента и поделиться с нами своими отзывами и впечатлениями!
Группа разработчиков средств управления Exchange
Это локализованная запись блога. Исходная статья находится по адресу Using EAC to manage multi-forest Exchange deployments