Cómo proteger plantillas de destinatario
Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Última modificación del tema: 2007-03-26
En Microsoft Exchange Server 2007, puede usar un destinatario existente como plantilla. Esto le permite gestional los destinatarios de una manera consistente sin tener que especificar explícitamente todas las opciones de configuración. De la misma manera que puede usar un destinatario existente como plantilla cuando crea nuevos destinatarios, también puede mantener destinatarios específicos con este fin. Un destinatario que se usa únicamente para gestionar nuevos destinatarios recibe el nombre de plantilla de destinatario.
Una plantilla de destinatario no se asocia con una persona, recurso o grupo real. Por esto, debe proteger las plantillas de destinatario para minimizar los riesgos asociados a tener una cuenta genérica. Esto es especialmente importante para plantillas de buzón y usuario de correo, ya que ambas tienen credenciales de inicio de sesión de servicio de directorio Active Directory y pueden usarse para obtener acceso a los recursos de su organización de manera impredecible si no se protegen adecuadamente.
Este tema explica cómo usar usuarios y equipos Active Directory y la consola de administración Exchange o el Shell de administración Exchange para proteger las plantillas de destinatario.
Antes de empezar
Para realizar este procedimiento, la cuenta que use debe tener delegada la siguiente función:
Función Administrador de destinatarios de Exchange
Función de operador de cuentas para los contenedores Active Directory correspondientes
Para obtener más información acerca de los permisos, la delegación de funciones y los derechos necesarios para administrar Exchange 2007, consulte Consideraciones sobre permisos.
Procedimiento
El procedimiento que se sigue para proteger una plantilla de destinatario es el mismo para todos los destinatarios. Sin embargo, debe realizar tareas adicionales para los destinatarios que tiene credenciales de inicio de sesión Active Directory, tales como buzones o usuarios de correo electrónico. Este tema se divide en las siguientes secciones:
Protección de plantillas de Buzón y usuarios de correo.
Protección de grupos de distribución, grupos de distribución dinámicos y plantillas de contacto de correo
Protección de plantillas de Buzón y usuarios de correo.
Tanto las plantillas de Buzón como las de usuario de correo tienen credenciales de inicio de sesión de Active Directory y tienen acceso a los recursos para los que se les ha concedido permiso. Por consiguiente, debe asegurarse de que la cuenta de usuario asociada a una plantilla de Buzón o de usuario de correo nunca se usa para obtener acceso a los recursos.
Nota
Aunque los procedimientos de esta sección le muestran como proteger una plantilla de Buzón, los pasos son idénticos para la plantilla de usuario de correo.
Para proteger plantillas de Buzón y de usuario de correo, es importante seguir los pasos siguientes:
Usar usuarios y equipos de Active Directory para proteger una plantilla de Buzón
Abra Usuarios y equipos de Active Directory.
En el árbol de consola, seleccione la unidad organizativa (OU) que contiene la cuenta de usuario de la plantilla de buzón.
En el panel de detalles, haga clic con el botón secundario sobre la cuenta de usuario asociada a la plantilla de Buzón y a continuación haga clic sobre Deshabilitar cuenta. Este paso impide que la cuenta pueda usarse para iniciar sesión en Active Directory.
Haga clic con el botón secundario sobre la cuenta que acaba de deshabilitar y a continuación, en Propiedades.
En <Buzón> Propiedades, en la ficha Miembro de, haga clic en Agregar para abrir el cuadro de diálogo Seleccionar grupos.
En el cuadro Escriba los nombres de los objetos que desea seleccionar, escriba cuentas de plantilla, y haga clic sobre Comprobar nombres.
Haga clic en Aceptar para cerrar el cuadro de diálogo Seleccionar grupos.
En Miembro de, haga clic sobre el grupo Cuentas de plantilla y a continuación, sobre Establecer grupo principal.
Seleccionar el grupo Usuarios de dominio y hacer clic sobre Quitar. Este paso asegura que la cuenta no pueda obtener acceso a los recursos de la red, aunque fuera habilitada por error.
Importante
Si el usuario de la plantilla es miembro únicamente del grupo de seguridad de usuario de dominio, no será posible anular la pertenencia, ya que es el grupo de seguridad principal de aquel usuario. En Active Directory, todos los usuarios deben ser miembros de al menos un grupo de seguridad. Por consiguiente, debería crear un grupo de seguridad para usarlo como grupo de seguridad principal para todas las cuentas de usuario que usa como plantilla. Este grupo de seguridad no debe usarse para asignar permisos. Para obtener más detalles sobre cómo proteger grupos, vea Protección de cuentas y grupos de administración de Active Directory. Este procedimiento da por supuesto que usted ya ha creado un grupo de seguridad llamado Cuentas de plantilla para este propósito.
Haga clic en Aceptar.
Los siguientes pasos adicionales también se recomiendan para proteger una plantilla de Buzón o de usuario de correo. Sin embargo, las opciones de configuración que han cambiado al realizar estos pasos se copian a los nuevos destinatarios que se han proporcionado al usar esta plantilla. Por consiguiente, si lleva a cabo el siguiente procedimiento, es importante que se acuerde de restablecer la configuración para los nuevos destinatarios que se proporcionen al usar esta plantilla.
Usar la consola de administración de Exchange para realizar los pasos adicionales para proteger una plantilla de Buzón
Inicie la Consola de administración de Exchange.
En el árbol de la consola, haga clic en Configuración de destinatarios.
En el panel de resultados, haga clic con el botón secundario en la plantilla de Buzón y a continuación, en Propiedades.
En <Plantilla de Buzón> Propiedades, en General, seleccione la casilla Ocultar a las listas de direcciones de Exchange. Esto no permitirá que la plantilla de Buzón o de usuario de correo aparezca en la lista global de direcciones (GAL) u otras listas de direcciones Exchange.
En <Plantilla de Buzón> Propiedades, en Configuración del flujo de correo, seleccione Restricciones del tamaño del mensaje, y a continuación haga clic en Propiedades.
En Restricciones del tamaño del mensaje, seleccione la casilla Tamaño máximo del mensaje (en KB) para Recibir tamaño del mensaje. Escriba 0 en el cuadro de texto. Puesto que no se supervisan las plantillas de destinatario, este paso asegura que la plantilla de Buzón no reciba mensajes de correo electrónico.
Haga clic en Aceptar.
Haga clic en Aceptar.
Usar el Shell de administración de Exchange para realizar los pasos adicionales para proteger una plantilla de Buzón
Para ir más allá con la protección de la plantilla de Buzón Template Mailbox, escriba el siguiente comando: (Para un usuario de correo, use el cmdlet Set-MailUser con los mismos parámetros.)
Set-Mailbox -Identity "Template Mailbox" -HiddenFromAddressListsEnabled $true -MaxReceiveSize 0KB
Para restablecer la configuración adicional de nuevos buzones o usuarios de correo que hayan sido proporcionados por el uso de una plantilla de destinatario segura, puede repetir el procedimiento anterior e invertir los cambios. Sin embargo, la propiedad de canalización del Shell de administración Exchange le permite aprovisionar el nuevo destinatario y restablecer la configuración mediante una única línea de código. El siguiente ejemplo aplica lo anterior en un buzón. El proceso es el mismo para un usuario de correo, con la diferencia de que se deben usar los cmdlets Get-MailUser, New-MailUser, y Set-MailUser.
Usar el Shell de administración de Exchange para crear un nuevo buzón mediante una plantilla de destinatario y restablecer la configuración adicional que se usó para proteger la plantilla de Buzón
Para crear un buzón para John Smith mediante la plantilla de Buzón Template Mailbox, escriba los siguientes comandos: (El resultado del cmdlet New-Mailbox está canalizado al cmdlet Set-Mailbox para restablecer la configuración adicional que se usó para proteger la plantilla de Buzón.)
$Temp = Get-Mailbox "Template Mailbox" New-Mailbox -Name "John Smith" -UserPrincipalName "jsmith@contoso.com" -OrganizationalUnit "contoso.com/Users" -Database "Server01\Mailbox Database" -TemplateInstance $Temp | Set-Mailbox -HiddenFromAddressListsEnabled $false -MaxReceiveSize unlimited
Escriba la contraseña del nuevo buzón cuando se le pida.
Para obtener información detallada sobre la sintaxis y los parámetros, consulte los siguientes temas de referencia:
Protección de grupos de distribución, grupos de distribución dinámicos y plantillas de contacto de correo
El procedimiento siguiente se recomienda para proteger grupos de distribución, grupos de distribución dinámicos y plantillas de contacto de correo. Sin embargo, las opciones de configuración cambiadas al realizar estos pasos se copian a los nuevos destinatarios que se han introducido mediante esta plantilla. Por consiguiente, si lleva a cabo el siguiente procedimiento, es importante que se acuerde de restablecer la configuración para los nuevos destinatarios introducidos mediante esta plantilla.
Importante
No debe usarse un grupo de seguridad universal como plantilla de grupo de distribución. Los grupos de seguridad universal pueden usarse para conceder permisos de acceso a recursos en Active Directory. Es un riesgo de seguridad innecesario usar un grupo que tiene una entidad de seguridad en Active Directory como plantilla de grupo de distribución, porque se debe especificar el tipo de grupo de distribución para los nuevos grupos de distribución.
Nota
Aunque los procedimientos de esta sección le muestran como proteger una plantilla de contacto de correo, los pasos son idénticos para una plantilla de grupo de distribución o de grupo de distribución dinámico.
Para usar la consola de administración de Exchange para proteger una plantilla de contacto de correo
Inicie la Consola de administración de Exchange.
En el árbol de la consola, haga clic en Configuración de destinatarios.
En el panel de resultados, haga clic con el botón secundario en la plantilla de contacto de correo y a continuación, en Propiedades.
En <Plantilla de contacto de correo> Propiedades, en General, seleccione la casilla Ocultar a las listas de direcciones de Exchange. Esto no permitirá que la plantilla de contacto de correo aparezca en la lista global de direcciones (GAL) u otras listas de direcciones Exchange.
En <Plantilla de contacto de correo> Propiedades, en Configuración del flujo de correo, seleccione Restricciones del tamaño del mensaje, y a continuación haga clic en Propiedades.
En Restricciones del tamaño del mensaje, seleccione la casilla Tamaño máximo del mensaje (en KB) para Recibir tamaño del mensaje. Escriba 0 en el cuadro de texto. Puesto que no se supervisan las plantillas de destinatario, este paso asegura que la plantilla de contacto de correo no reciba mensajes de correo electrónico.
Haga clic en Aceptar.
Haga clic en Aceptar.
Para usar el Shell de administración de Exchange para proteger una plantilla de contacto de correo
Para ir más allá con la protección de la plantilla de contacto de correo Template Mail Contact, escriba el siguiente comando: (Para un grupo de distribución, use el cmdlet Set-DistributionGroup, y para un grupo de distribución dinámico, use el cmdlet Set-DynamicDistributionGroup con los mismos parámetros.)
Set-MailContact -Identity "Template Mail Contact" -HiddenFromAddressListsEnabled $true -MaxReceiveSize 0KB
Para restablecer la configuración adicional de los destinatarios que hayan sido introducidos mediante el uso de una plantilla de destinatario segura, puede repetir el procedimiento anterior e invertir los cambios. Sin embargo, la propiedad de canalización del Shell de administración Exchange le permite introducir el nuevo destinatario y restablecer la configuración mediante una única línea de código. El siguiente ejemplo aplica lo anterior en un contacto de correo. El procedimiento es el mismo para un grupo de distribución y un grupo de distribución dinámico, con la diferencia de que se usarán los cmdlets Get-DistributionGroup, New-DistributionGroup, y Set-DistributionGroup para los destinatarios de un grupo de distribución y los cmdlets Get-DynamicDistributionGroup, New-DynamicDistributionGroup, y Set-DynamicDistributionGroup para los destinatarios de un grupo de distribución dinámico.
Usar el Shell de administración de Exchange para crear un nuevo contacto de correo mediante una plantilla de destinatario y restablecer la configuración adicional que se usó para proteger la plantilla de contacto de correo
Para crear un contacto de correo para John Smith mediante la plantilla de contacto de correo Template Mail Contact, ejecute los siguientes comandos: (El resultado del cmdlet New-MailContact está canalizado al cmdlet Set-MailContact para restablecer la configuración adicional que se usó para proteger la plantilla de contacto de correo.)
$Temp = Get-MailContact "Template Mail Contact" New-MailContact -Name "John Smith" -UserPrincipalName "jsmith@contoso.com" -OrganizationalUnit "contoso.com/Users" -Database "Server01\Mailbox Database" -TemplateInstance $Temp | Set-MailContact -HiddenFromAddressListsEnabled $false -MaxReceiveSize unlimited
Para obtener información detallada sobre la sintaxis y los parámetros, consulte los siguientes temas de referencia:
Información adicional
Para obtener los pasos detallados de cómo crear destinatarios usando plantillas de destinatario, vea Cómo utilizar plantillas para crear destinatarios.
Para obtener más información acerca de los destinatarios, consulte Conocimientos sobre los destinatarios.
Para obtener más información acerca de la canalización en el Shell de administración Exchange, vea Canalización.
Para obtener más información acerca de las interfaces de administración de Exchange 2007, consulte Interfaces de administración.