Работа с группами администрирования и маршрутизации
Концепция групп администрирования
Группы администрирования используются для определения административной топологии в больших организациях с множеством филиалов, подразделений, отделов, серверов Exchange и администраторов Exchange. Эти группы по своей природе являются логическими, то есть можно определить группу по географическому местоположению, подразделению, отделу или выполняемой функции. Например, если у компании 14 офисов в 14 странах, то в каждом из них, скорее всего, понадобится один или несколько серверов Exchange, причем должен присутствовать и администратор Exchange. В данной ситуации, вероятно, лучше всего создать группу администрирования для каждого из 14 мест, чтобы локальный администратор Exchange осуществлял управление локальными серверами Exchange. Другим возможным вариантом является выполнение всех функций группы маршрутизации одной группой, другая группа осуществляет выполнение всех функций, связанных с общими папками, а третья группа предназначена для поддержки всех функций системной политики. При использовании групп администрирования члены более крупной группы администрирования Exchange могут специализироваться в одной области администрирования, даже если рассматриваемая организация Exchange является всемирной.
Группа администрирования упрощает присвоение полномочий администрирования. После установки разрешений для объекта группы администрирования любые объекты, созданные или перемещенные в объект, наследуют полномочия родительского объекта. Следовательно, проще всего сначала установить разрешения для группы администрирования, а потом создать объекты внутри группы, чтобы они унаследовали полномочия группы. Как всегда, рекомендуется устанавливать разрешения на уровне самого верхнего объекта и затем распространять полномочия вниз по объектной иерархии. Объекты, создаваемые в группе администрирования, включают в себя следующие элементы.
Выбор модели администрирования
Для организации групп администрирования используется одна из трех моделей администрирования: централизованная, децентрализованная и смешанная. В рамках обсуждаемой здесь темы будет создана вымышленная компания под названием Trains By Dave. Компания Trains By Dave имеет семь офисов в трех регионах, как показано на рис. 12.1.
Централизованная модель администрирования
В централизованной модели администрирования одна группа поддерживает полный набор функций управления всеми серверами Exchange. Может существовать только одна группа или несколько строго контролируемых групп, предназначенных для целей администрирования. Топология группы маршрутизации не обязательно должна совпадать с топологией администрирования, поэтому может присутствовать несколько групп маршрутизации, отражающих физическую топологию сети, в то время как централизованный контроль администрирования осуществляется в одной группе администрирования. На рисунке 12.2 показано, как данная структура применена в компании Trains By Dave.
Децентрализованная модель администрирования
В децентрализованной модели администрирования в каждом местоположении есть своя команда администраторов Exchange, которые осуществляют административный контроль над всеми объектами, располагаемыми внутри их группы администрирования. Эти группы часто базируются на географических местоположениях или на структуре подразделений компании. Каждая из групп содержит политики, серверы, деревья общих папок и другие объекты, специфичные для группы. На рисунке 12.3 показано, как это реализовано в компании Trains By Dave. Здесь понадобится создать группу администрирования для каждого из трех континентов, а также потребуется наличие группы администраторов Exchange, каждый из которых отвечает за поддержку серверов Exchange в своей географической зоне.
Если осуществляется переход с версии Exchange Server 5.5, и перед этим существовало несколько сайтов в организации Exchange 5.5, во время перехода придется использовать децентрализованную модель администрирования. Каждый сайт Exchange 5.5 будет создан как отдельная группа администрирования в Exchange Server 2003.
Чтобы одновременно централизовать администрирование серверов Exchange 2003 и серверов Exchange 5.5, необходимо указать для административных групп полномочия доступа, ограничивающие администрирование групп только теми лицами, которые будут указаны. Это не приведет к включению серверов Exchange 5.5 в одну административную группу, но ограничит администрирование одной группой администраторов. Единственным способом реализации централизованной модели является миграция всех серверов Exchange 5.5 в систему Exchange Server 2003.
Смешанная модель администрирования
Смешанная модель администрирования лучше всего подходит для того, чтобы ограничить выполнение определенных административных функций определенной группой людей, не создавая при этом специализаций для каждой административной функции. В данной модели создаются административные группы по функциям, а не по географическому местоположению или границам подразделений компаний. Например, можно создать группу администрирования, единственным дочерним объектом которой являются политики. В такой ситуации можно ограничить право создавать новые политики или изменять существующие политики для организации Exchange небольшой группой людей. Однако другие административные функции останутся под управлением принятой по умолчанию административной группы First Administrative Group (Первая группа администрирования), и они не будут включены в их собственную административную группу.
Данную модель можно также использовать для объединения специализированных административных функций и распределения по географическому принципу в одну административную модель. Например, создать одну административную группу для управления маршрутными группами, вторую группу – для управления политиками, третью группу – для подразделения Atlantic, четвертую группу – для отдела European и пятую группу – для управления всеми деревьями общих папок. На рисунке 12.4 показано, как это будет выглядеть для компании Trains By Dave, где сохранена децентрализованная модель для ежедневного администрирования, но используется централизованная модель, объединяющая деревья общих папок в одну административную группу и политики в другую административную группу.