瞭解通訊錄原則

適用版本： Exchange Server 2010 SP2, Exchange Server 2010 SP3

上次修改主題的時間： 2016-11-28

全域通訊清單 (GAL) 分割 (也稱為 GAL 分割) 是一種程序，系統管理員可藉此將使用者分入特定群組，以提供組織的 GAL 之自訂檢視。在 MicrosoftExchange Server 2007 及更舊的版本中，GAL 分割程序十分複雜，需要您使用查詢基本 DN (作用如同目錄搜尋的根目錄) 或存取控制清單 (ACL)，以允許或拒絕對每份通訊清單的存取。若要深入瞭解如何設定 Exchange 2007 的 GAL 分割，請參閱在 Exchange 2007 中設定虛擬組織與通訊清單分割。

若要簡化程序，MicrosoftExchange Server 2010 Service Pack 2 (SP2) 會引進通訊錄原則 (ABP)。建立 ABP 時，您要指定 GAL、離線通訊錄 (OAB)、會議室清單和一個以上的通訊清單給該原則。接著您可以指定 ABP 給信箱使用者，提供他們在 Outlook 和 Outlook Web App 中存取自訂 GAL 的權限。目標在於為需要多個 GAL 的內部部署組織提供更簡單的機制來達成 GAL 分割。

附註：
ABP 的目的在於最佳化每一組使用者的GAL，而不是讓彼此無法見到對方或是用於分辯您組織中的其他使用者。ABP 只是建立使用者的虛擬區隔，並不是真的區隔。

重要事項：
Office 365 沒有支援 ABP。因此，如果您使用混合部署，具有雲端式信箱的使用者將可看見全部的通訊錄。

ABP 運作方式

ABP 包含下列清單：

• 一個 GAL

• 一個 OAB

• 一個會議室清單 (預約用)

• 一或多個通訊清單

在下圖，通訊錄原則 A 包含存在於組織內的各種通訊物件之子集 (顯示在圖表的下半部)。在 GAL1 的案例中，ABP 的結果範圍與原則中包含的 GAL 相同。一旦建立 ABP 並指定給使用者後，ABP 中的通訊物件將會變成使用者能夠檢視的物件範圍。

您可以使用下列方式指定 ABP 給個別信箱使用者：

當使用者的用戶端應用程式連線至 Client Access Server 上的 Microsoft Exchange 通訊錄服務時，ABP 便會生效。若您變更了 ABP，僅於使用者重新啟動 OutlookOutlook Web Access 之後，或是您重新啟動 Microsoft Exchange 通訊錄服務之後，更新的 ABP 才會生效。若要深入了解，請參閱瞭解通訊錄服務。

Entourage、Outlook for Mac 與 ABP

對於與公司網路連接的 Entourage 使用者或 Outlook for Mac 使用者而言，ABP 將不會產生作用。當位於公司網路中時，Entourage 與 Outlook for Mac 的用戶端會直接連線至通用類別目錄伺服器及直接查詢 Active Directory，而非使用 Microsoft Exchange 通訊錄服務。然而，從網際網路連線的 Outlook for Mac 2011 用戶端可以使用 OAB 或是 Exchange Web 服務 (EWS)。因此，這些用戶端可以依據指定的 ABP 檢視 GAL。若要進一步瞭解關於 Outlook for Mac 2011 的管理，請參閱規劃 Outlook for Mac 2011

部署 ABP

此章節提供在組織中部署 ABP 的相關資訊，包含最佳作法、案例以及一般步驟。若要檢視所有 ABP 的管理工作，請參閱 管理通訊錄原則。

考量與最佳作法

當在組織中設定 ABP 時，請考量下列事項：

• 為使 ABP 能正確運作，您套用 ABP 的使用者信箱必須位於 MicrosoftExchange Server 2010 SP2 伺服器上。

• 請勿在通用類別目錄伺服器上執行 Client Access server role。這樣做會導致名稱服務提供者介面 (NSPI) 使用 Active Directory，而非 Microsoft Exchange 通訊錄服務。

• 您不能同時使用階層式通訊錄 (HAB) 與 ABP。若要深入瞭解 HAB，請參閱瞭解階層式通訊錄。

• 任何已指定 ABP 的使用者應存在於自己的 GAL 中。

• 若您允許用戶端應用程式透過 LDAP 直接存取 Active Directory，應用程式將會忽略建立於 ABP 中的邏輯。由於 Outlook 2011 與 Entourage 2008 使用直接 LDAP 查詢來存取 Active Directory，因此若是 Autodiscover 服務已為那些應用程式指定或提供網域控制站或通用類別目錄伺服器，則那些用戶端應用程式將無法正常使用 ABP 功能。Outlook 2011 可使用 EWS 或本機 OAB 來存取目錄資訊。然而，若是 Outlook 2011 可直接存取 LDAP 服務，則它會嘗試這麼做。

• ABP 中所使用的 GAL 必須至少含有已定義且已指定於 ABP 中的所有通訊清單，包含會議室通訊清單。請勿建立比相同 ABP 中任何通訊清單包含更少物件的 GAL。

• 建議建立不會跨越虛擬組織界線的通訊群組。建立包含多個虛擬組織成員的通訊群組會導致下列問題：

  • 若群組成員寄送郵件給通訊群組時要求傳遞或讀信回條，他們將可在其他虛擬組織中，看得到群組成員的電子郵件地址。

  • 如果將已加密訊息寄送給通訊群組，而一些群組成員並無有效數位識別碼，寄件者將會收到警告訊息，其中包含不具有效識別碼的成員總數及其電子郵件清單。不過，如果其中一些不具有有效數位識別碼的成員位於與寄件者不同的組織中，警告訊息將包含正確計數但不包含其他組織成員的電子郵件地址。因此，總計數將不符合成員地址清單。

    例如，假設一個通訊群組包含五位來自兩個組織的成員：機構 A 和機構 B。三位來自機構 A 的成員中，有一位成員的數位識別碼無效。其他兩位來自機構 B 的成員的數位識別碼皆無效。如果機構 A 的成員傳送加密郵件給通訊群組，該成員將收到警告訊息，陳述總計有三位收件者不具有有效的數位識別碼。不過，警告訊息將僅會列出來自機構 A 的收件者之電子郵件地址。

  • ABP 不會套用於 Get-Group 指令程式。因此，任何能夠執行 Get-Group 的使用者或處理程序將可查看他們具有其存取權限之任何群組的全部成員。

    建議您修改 Exchange 控制台 (ECP) 的群組管理設定，讓使用者無法使用 ECP 來管理群組。若要防止使用者使用 ECP 來管理群組，請將使用者排除在 MyDistributionGroupMembership RBAC 角色之外。如需詳細資訊，請參閱 MyDistributionGroupMembership 角色 與 關閉使用者建立通訊群組的能力。

  • 如果您允許使用者使用 Outlook 或 Outlook Web App 來管理群組，群組擁有者必須具有完整的群組成員清單可見性。

• 所有 ABP 都必須包含會議室通訊清單。然而，若您的組織不使用會議室通訊清單，您可以建立預設的空白會議室通訊清單。

• 部署 ABP 並不會使一個虛擬組織中的使用者無法傳送電子郵件給另一個虛擬組織的使用者。如果您想要防止使用者跨組織傳送電子郵件，我們建議您建立傳輸規則。例如，若要建立傳輸規則防止 Contoso 使用者接收來自 Fabrikam 使用者的郵件，但是仍然允許 Fabrikam 的資深領導團隊傳送訊息給 Contoso 使用者，請執行下列命令介面命令：

  New-TransportRule -Name "StopFabrikamtoContosoMail" -FromMemberOf "AllFabrikamEmployees" -SentToMemberOf "AllContosoEmployees" -DeleteMessage -ExceptIfFrom seniorleadership@fabrikam.com
  

  若要深入了解，請參閱建立傳輸規則。

• 如果您想要在 Lync 用戶端強制實施 ABP，您可以在特定使用者物件上設定 msRTCSIP-GroupingID 屬性。如需相關資訊，請參閱取代成 msRTCSIP-GroupingID 的 PartitionByOU 主題。

部署案例

下列三個案例將描述針對三個不同組織類型的可能部署解決方案。在眾多案例中，此處僅涵蓋最常見的案例。這些案例中的通訊清單和 GAL 都是根據可將物件邏輯分組的篩選器而建立，例如自訂屬性。

案例 1：兩間獨立的公司 - 一個 Exchange 組織

本案例適用於擁有不同機構、單位或部門的公司，其具有下列情形：

• 位於相同的 Exchange 組織中。

• 未共用員工。

• 未共用一般報告鏈。

此外，機構、單位或部門不具有任何特殊的安全性或隱私權顧慮。

本案例中，兩個 ABP 係採用下列設定而建立：

• 檢視 GAL 或通訊群組成員資格的員工僅能查看他們公司的收件者。

• 不具有橫跨兩間公司的通訊群組。

下表列出了包含在 Contoso 和 Humongous Insurance 的 ABP 中的通訊清單、GAL、會議室清單和 OAB。ABP 元件的建立是使用 CustomAttribute15 參數將物件分組。由於是兩間不同的公司，之間沒有任何互動，因此並不共同任何通訊清單。

案例 2：共同 CEO 的兩間公司

本案例適用於具有下列情形的數間公司：

• 位於相同的 Exchange 組織中。

• 共同的 CEO。

• 未共用員工。

本案例中，三個 ABP 係採用下列設定而建立：

• 檢視 GAL 或通訊群組成員資格的員工僅能查看他們公司的收件者。

• 每個公司都各自有名為 SeniorLeaders 的通訊群組，其包含該公司資深領導人和共同的 CEO。

• 檢視 CEO 群組成員資格的員工僅能查看他們公司的收件者。

• 建立了三個 ABP：Fabrikam、Tailspin Toys和 CEO。

當將 CEO 加入每個公司的通訊群組中，使之落在每間公司的 ABP 範圍內時，CEO 對每間公司而言都是公開可見的。CEO 在 Fabrikam 和 Tailspin Toys 的 GAL 中都是公開可見的，並且可建立橫跨兩間公司的通訊群組。不過通訊群組的成員只能檢視自己公司內的成員。

案例 3：教育

本案例適用於學校或大學，其中教室分配對於確保學生的隱私權而言是必要的。

本案例中，ABP 係採用下列設定而建立：

• 學生只可以檢視他們教室中的其他學生、老師和校長。

• 教師只可以檢視他們教室中的學生、所有老師和校長。

• 通訊群組是為每間教室的家長和教職員而建立。

一般部署步驟

本節提供在您的組織中部署 ABP 的一般步驟，包含如何由 Exchange 2007 通訊清單分割中進行遷移。

由通訊清單分割中遷移至 ABP

如果您目前使用 Exchange 2007 通訊清單分割 (依據白皮書 在 Exchange 2007 中設定虛擬組織和通訊清單分割 中的指示)，而您想要遷移至 ABP，請遵循 從 Exchange 2007 通訊清單分割遷移到 Exchange 2010 通訊錄原則 中概述的步驟。本處理程序需要您組織的一些停機時間，請務必進行相應的計劃。

新 ABP 部署

如果您不是使用 Exchange 2007 通訊清單分割，請遵循本節中所列步驟來部署您組織中的 ABP。

以下步驟適用於 案例 2：共同 CEO 的兩間公司。在此案例中，Fabrikam 和 Tailspin Toys 是不同的公司，但具有共同的 CEO 和資深領導團隊。本案例需要三個 ABP：

• ABP_FAB

• ABP_TAIL

• ABP_CEO

步驟 1：分割您的虛擬組織

您將需要開發一種方式，將您的組織分割為數個虛擬組織。進行分割時，建議您使用信箱、聯絡人和群組上的自訂屬性內容，而非預先定義的條件式屬性 (如公司、部門或縣/市)。使用自訂屬性而非預先定義的屬性包含下列好處：

• 並非所有收件者類型皆於 Active Directory 中具有預先定義的條件式屬性。例如，Active Directory 物件 [通訊群組] 和 [動態通訊群組] 不支援 [公司]、[部門] 或 [縣/市] 屬性。

• 並非所有預先定義的條件式屬性都在指令程式中針對一些收件者公開。例如，在郵件使用者、聯絡人、通訊群組和已啟用郵件功能之公開資料夾的指令程式中，無法使用 Company、Department 和 StateOrProvince 參數。

• 當您使用預先定義的條件式屬性時，需要多個指令程式來分割收件者。例如，若要設定使用者信箱的 Company、Department 或 StateOrProvince 參數，您必須在執行 New-Mailbox 或 Set-Mailbox 指令程式後，執行 Set-User 指令程式。

  然而，在 Set-* 指令程式中 CustomAttribute 參數對每個收件者類型都是公開的，因此不需要也執行 Set-User 指令程式。

• 自訂屬性內容為自訂組織而明確保留，並完全由組織系統管理員所控制。

如需自訂屬產的詳細資訊，請參閱 了解自訂屬性。

在分割您的組織時，值得考量的另一個最佳作法是，在通訊群組和動態通訊群組的名稱中使用公司識別碼。執行這個動作的方法之一是使用群組命名原則。這些規則可讓您指定套用至通訊群組名稱的前置詞和/或尾碼。這在分割您的組織時很有幫助，因為您可以使用這些規則來根據使用者屬性，如通訊群組建立者的公司、縣/市、部門和自訂屬性內容，來指定前置詞或尾碼。若是您允許使用者建立自己的通訊群組，則這個方法格外重要。如需詳細資訊，請參閱建立通訊群組命名原則。

附註：
因為群組命名原則不會套用至動態通訊群組，您必須手動套用命名原則。

步驟 2：建立通訊清單、會議室清單、GAL 和 OAB

當您建立通訊清單和 GAL 時，請勿使用 IncludedRecipient 和 ConditionalX 參數，如 ConditionalCompany 和 ConditionalCustomAttribute5。取而代之地，我們建議您使用收件者篩選器。若要深入瞭解收件者篩選器，請參閱 在收件者命令中建立篩選器。

附註：
由於您無法使用 EMC 來建立收件者篩選器，因此本節中所有程序皆使用命令介面命令。

建立通訊清單

建立 ABP 時，根據您希望您的使用者檢視 Outlook 或 Outlook Web App 清單的方式來加入多個通訊清單。本案例需要四個通訊清單：

• AL_FAB_Users_DGs

• AL_FAB_Contacts

• AL_TAIL_Users_DGs

• AL_TAIL_Contacts

本範例會建立通訊清單 AL_TAIL_Users_DGs。通訊清單包含所有其中 CustomAttribute15 等於 TAIL 的使用者和通訊群組。

New-AddressList -Name "AL_TAIL_Users_DGs" -RecipientFilter {((RecipientType -eq 'UserMailbox') -or (RecipientType -eq "MailUniversalDistributionGroup") -or (RecipientType -eq "DynamicDistributionGroup") -and (CustomAttribute15 -eq "TAIL"))}

接著執行上述命令以建立剩餘的通訊清單。AL_FAB_Users_DGs、AL_FAB_Contacts 和 AL_TAIL_Contacts。

如需詳細的語法及參數資訊，請參閱 New-AddressList。

若要深入瞭解使用收件者篩選器來建立通訊清單的方式，請參閱 使用收件者篩選器建立通訊清單。

建立會議室清單

本案例需要三個會議室清單：

• AL_FAB_Rooms

• AL_TAIL_Rooms

• 預設所有會議室 (根據預設而建立)

ABP 都必須包含會議室清單。如果您的組織沒有資源信箱 (如會議室或設備信箱)，我們建議您建立空白的會議室清單。以下範例會建立空白的會議室清單 AL_BlankRoom。

New-AddressList -Name AL_BlankRoom -RecipientFilter ((Alias -ne $null) -and ((RecipientDisplayType -eq 'ConferenceRoomMailbox') -or (RecipientDisplayType -eq 'SyncedConferenceRoomMailbox')))

不過，本案例中，Fabrikam 和 Tailspin Toys 都具有會議室信箱。此範例會使用其中 CustomAttribute15 等於 TAIL 的收件者篩選器來建立 Tailspin Toys 的會議室清單。

New-AddressList -Name AL_TAIL_Rooms -RecipientFilter {(Alias -ne $null) -and (CustomAttribute15 -eq "TAIL")-and (RecipientDisplayType -eq 'ConferenceRoomMailbox') -or (RecipientDisplayType -eq 'SyncedConferenceRoomMailbox')}

接著執行上述命令以建立 Fabrikam 的會議室清單 (AL_FAB_Rooms)。

如需詳細的語法及參數資訊，請參閱 New-AddressList。

建立 GAL

本案例需要三個 GAL：

• GAL_FAB

• GAL_TAIL

• 預設 GAL (根據預設而建立)

ABP 中使用的 GAL 必須是通訊清單的超集合。請勿建立比現存於 ABP 中任何或全部通訊清單包含更少物件的 GAL。

此範例會建立 Tailspin Toys 的 GAL。其包含了通訊清單及會議室清單中的所有收件者。

New-GlobalAddressList -Name "GAL_TAIL" -RecipientFilter {(CustomAttribute15 -eq "TAIL")}

接著執行上述命令以建立 Fabrikam 的 GAL (GAL_FAB)。

如需詳細的語法及參數資訊，請參閱 New-GlobalAddressList。

建立 OAB

本案例需要三個 GAL：

• OAB_FAB

• OAB_TAIL

• 預設 OAB (根據預設而建立)

使用 New-OfflineAddressBook 或 Set-OfflineAddressBook 來建立 OAB 時，請在 AddressLists 參數中包含適當的通訊清單或 GAL來確定沒有意外遺失任何項目。例如，惹您想要自訂使用者在檢視 OAB 時會看見的清單組，或者只是想要縮減 OAB 的下載大小，您可以使用 AddressLists 參數來指定 OAB 可取得之通訊清單。不過，若您想要使用者在 OAB 中看見完整的 GAL 項目組，請確認您已在 AddressLists 參數中加入 GAL。

此範例會建立 Tailspin Toys 的 OAB。OAB 中包含整個 GAL (GAL_TAIL)。

New-OfflineAddressBook -Name "OAB_TAIL" -AddressLists "GAL_TAIL"

接著執行上述命令以建立 Fabrikam 的 OAB (OAB_FAB)。

如需詳細的語法及參數資訊，請參閱 New-OfflineAddressBook。

步驟 3：建立 ABP

在建立所有必要的清單之後，您便能建立 ABP。

此範例會建立 Tailspin Toys 的 ABP。

New-AddressBookPolicy -Name "ABP_TAIL" -AddressLists "AL_TAIL_Users_DGs","AL_TAIL_Contacts" -OfflineAddressBook "\OAB_TAIL" -GlobalAddressList "\GAL_TAIL" -RoomList "\AL_TAIL_Rooms"

接著執行上述命令以建立 Fabrikam 的 ABP (ABP_FAB) 及該組織 CEO 的 ABP (ABP_CEO)。

如需詳細的語法及參數資訊，請參閱 New-AddressBookPolicy。

步驟 4：將 ABP 指派給信箱

將 ABP 指派給信箱使用者是處理程序中的最後一個步驟。當使用者的應用程式連線至用戶端存取伺服器上的 Microsoft Exchange 通訊錄服務時，ABP 便會生效。當 ABP 套用至使用者帳戶時，若使用者已連線至 Outlook 或 Outlook Web App，則需要先關閉並重新啟動用戶端應用程式，才能查看新的通訊清單和 GAL。

此範例指派通訊錄原則 ABP_TAIL 給其中 CustomAttribute15 等於 TAIL 的所有信箱。

Get-Mailbox -resultsize unlimited | where {$_.CustomAttribute15 -eq "TAIL"}| Set-Mailbox -AddressBookPolicy "ABP_TAIL"

如需詳細資訊，請參閱指派通訊錄原則至郵件使用者。

 © 2010 Microsoft Corporation. 著作權所有，並保留一切權利。