Usar el EAC para administrar implementaciones de bosques múltiples de Exchange

Artículo original publicado el viernes, 31 de agosto de 2012

Tras el último artículo, que presentaba el nuevo Centro de administración de Exchange (EAC), profundizamos ahora en cómo el nuevo EAC hace mucho más sencilla la administración de implementaciones de bosques múltiples de Exchange.

Tal como se describió en Implementar Exchange 2010 en una topología entre bosques, Exchange Server 2010 puede implementarse en una topología entre bosques o en una topología de bosque de recursos. Para lo que nos ocupa en este artículo emplearemos el mismo procedimiento para implementar una topología de bosque de recursos con el nuevo Exchange.

En primer lugar vamos a instalar un entorno de bosque de recursos como se muestra a continuación, con una confianza de bosque unidireccional configurada para que el Bosque B confíe en el Bosque A.

imagen
Figura 1: diseño de una topología de bosque de recursos de Exchange

El Bosque A es el bosque de cuentas donde se aprovisionan todas las cuentas de usuario y no tiene instalado ningún servidor de Exchange. El Bosque B es el bosque de recursos, que tiene instalado Exchange Server 2013 y buzones vinculados para todas las cuentas de usuario del Bosque A. El Bosque B no tiene aprovisionada ninguna cuenta de usuario.

En un entorno de laboratorio, tenemos a un usuario, John Doe, instalado en el Bosque A, y deseamos que se convierta en administrador de Exchange. Para conseguirlo, tenemos que asegurarnos de que tenga instalados correctamente los privilegios del Control de acceso basado en funciones (RBAC) en el bosque de recursos de Exchange. Como en este caso se está trabajando con un entorno de bosques múltiples, existen dos tipos de configuración RBAC y probaremos los dos:

  1. Utilizar buzones vinculados
  2. Utilizar grupos de funciones vinculados

Puede que ya tenga usuarios instalados en un bosque de cuentas. El hecho de configurar estos usuarios como buzones vinculados establece su presencia en el bosque de recursos de Exchange. Si agrega estos buzones vinculados a grupos de funciones del RBAC existente, los usuarios asociados se convierten entonces eficazmente en administradores de Exchange.

Utilizar buzones vinculados

En la figura siguiente, la cuenta de usuario de John Doe está instalada en el bosque de cuentas. Con el EAC, un administrador de Exchange puede crear un buzón vinculado para él, tal y como se muestra a continuación.

imagen
Figura 2: John Doe se ha configurado como buzón vinculado.

El buzón de John puede agregarse entonces a cualquiera de los grupos de funciones administrativos del RBAC integrados y se convertirá así en administrador de Exchange. En la captura de pantalla siguiente, John se ha convertido en miembro del grupo de funciones Administración de la organización integrado.

imagen
Figura 3: John Doe se ha agregado como miembro del grupo de funciones Administración de la organización.

Ahora tratemos de iniciar sesión en el EAC como John, que ahora debería tener privilegios administrativos de Exchange, como se muestra a continuación.

imagen
Figura 4: iniciar sesión en el EAC como John Doe, configurado como buzón vinculado, y como miembro del grupo de funciones Administración de la organización.

Utilizar grupos de funciones vinculados

Los grupos de funciones vinculados son, en esencia, grupos de funciones vinculados a través de un grupo de seguridad universal (USG) a través de un límite del bosque. Por este motivo, los miembros del USG se convierten en miembros de los grupos de funciones vinculados, lo que significa que, si John Doe es miembro de tal USG, automáticamente obtiene todos los permisos del RBAC en un bosque de recursos de Exchange a través de los grupos de funciones vinculados. Los grupos de funciones vinculados posibilitan entonces que un pequeño conjunto de grupos de seguridad universal de un bosque de cuentas administre topologías de bosques múltiples de Exchange complejas.

Para comprobarlo, haga lo siguiente:

  1. En el bosque de cuentas, con la herramienta de administración Usuarios y equipos de Active Directory (ADUC), crearemos un USG llamado AdminSG que representará a un grupo de administradores de Exchange. Luego convertiremos a John Doe en miembro de este USG.
  2. En el bosque de recursos, configuraremos un único grupo de funciones vinculado basado en el grupo de funciones integrado "Organization Management", asignado a AdminSG, con las siguientes llamadas de la Consola de administración de Exchange:

$accountForestCredential = Get-Credential

$OrgMgmt = Get-RoleGroup "Organization Management"

New-RoleGroup "Organization Management - Linked" -LinkedForeignGroup "AdminSG" -LinkedDomainController bjex062.extest.microsoft.com -LinkedCredential $accountForestCredential -Roles $OrgMgmt.Roles

Get-ManagementRoleAssignment -RoleAssignee "Organization Management - Linked" -Role My* | Remove-ManagementRoleAssignment

Get-ManagementRole | New-ManagementRoleAssignment -SecurityGroup "Organization Management - Linked" -Delegating

Si se han seguido los pasos anteriores, John Doe tendrá ahora todos los privilegios del RBAC en el bosque de recursos de Exchange aunque su cuenta de usuario esté en el bosque de cuentas.

Ahora trataremos de iniciar sesión en el EAC como John Doe. Iniciamos el EAC desde cualquier escritorio, lo dirigimos a un servidor CAS del bosque de recursos y ya hemos iniciado sesión. John tiene privilegios del RBAC estándar, como se definió en el grupo de funciones del RBAC Administración de la organización y está habilitado para administrar adecuadamente Exchange en el bosque de recursos.

imagen
Figura 5: iniciar sesión en el EAC como John Doe a través del grupo de funciones Administración de la organización vinculado.

Pruebe el EAC

Como puede ver, el EAC administra implementaciones de bosques múltiples de Exhange en un abrir y cerrar de ojos sin necesidad de conexión remota a máquinas de administración dedicadas que administren un bosque de Exchange específico ni de creación de cuentas administrativas especiales en todos los bosques de recursos de Exchange. Todo esto puede hacerlo usted mismo sin moverse de su escritorio con el EAC y sus credenciales de usuario.

El EAC está disponible en las descargas de Exchange 2013 Preview más actuales, así como a través de la oferta de Office 365 Customer Preview. Se publicará más información sobre el EAC en las próximas semanas. Mientras tanto, le animamos a que pruebe el nuevo EAC y nos envíe sus comentarios.

El equipo de facilidad de uso de Exchange

Esta entrada de blog es una traducción. Puede consultar el artículo original en Using EAC to manage multi-forest Exchange deployments