Администрирование почтовых служб на базе Microsoft Exchange Server 2003
[+]
Опубликован: 30.04.2006 | Доступ: свободный | Студентов: 2959 / 243 | Оценка: 4.05 / 3.94 | Длительность: 23:23:00
ISBN: 978-5-9570-0037-X
Темы: Интернет-технологии, Сетевые технологии, Операционные системы
Специальности: Архитектор программного обеспечения, Разработчик интернет-проектов
Теги: exchange, exchange server, f-connector, microsoft word, outlook, SMTP, store, администрирование, базы данных, безопасность, интернет, каталоги, клиенты, коннектор, маршрутизация, оборудование, поиск, политика, почтовый ящик, программное обеспечение, протоколы, репликация, серверы, топология, электронная почта, элементы
Лекция 12:

Работа с группами администрирования и маршрутизации
A
|
версия для печати
< Лекция 11 || Лекция 12: 12345 || Лекция 13 >

Группы администрирования и полномочия доступа

Полномочия в Exchange Server 2003 базируются на модели полномочий доступа Active Directory. Это означает, что присвоение пользователю или группе полномочий доступа осуществляется по объекту, дочернему объекту или классу объектов.

Объект в Active Directory после создания наследует по умолчанию полномочия родительского объекта. Наследование позволяет распространять полномочия вниз по иерархии объектов, поэтому нет необходимости вручную присваивать дочернему объекту его полномочия. Кроме того, чтобы изменить полномочия для целого диапазона объектов, нужно всего лишь изменить эти полномочия для родительского объекта, а дочерние объекты автоматически унаследуют эти полномочия.

Модель присваивания полномочий доступа в Exchange Server 2003 обеспечивает контроль администраторов над распространением полномочий на контейнеры и объекты. Этот контроль осуществляется посредством специализированного наследования, которое позволяет указывать, что только определенные объекты наследуют полномочия. Вы можете задать наследование для следующих элементов:

  • только данный объект;
  • только наследник;
  • данный объект и вложенные контейнеры;
  • данный объект и дочерние объекты;
  • только вложенные контейнеры;
  • только дочерние объекты;
  • данный объект, вложенные контейнеры и дочерние объекты;
  • вложенные контейнеры и дочерние объекты.
Пример из практики.

Как происходит распространение полномочий в разделе именования конфигурации

По умолчанию члены группы Enterprise Admins (Администраторы предприятия) имеют полный контроль над административными группами. Группа Domain Admins (Администраторы домена) тоже имеет существенные полномочия по этим объектам. На рисунке 12.5 показано окно консоли интерфейса служб Active Directory (ADSI Edit), из которого видно, как происходит наследование полномочий из контекста конфигурации (ADSI Edit – это оснастка MMC.)

Поскольку Exchange Server 2003 содержит значительную часть своей информации в разделе конфигурации Active Directory, организация Exchange создается именно в этом разделе. С точки зрения службы Active Directory, объект организации – это просто еще один объект, на который распространяются принятые по умолчанию полномочия доступа.

Если рассматриваемая среда устроена таким образом, что существует резкое отличие между деятельностью администраторов Exchange и администраторов доменов, то потребуется создать группу Exchange Admins (Администраторы Exchange) и предоставить этой группе полный контроль над всеми аспектами организации Exchange, а также ограничить глубину и объем полномочий для группы Domain Admins (Администраторы домена). Это необходимо сделать вручную в самом объекте-организации. Кроме того, потребуется блокировать наследование полномочий из раздела конфигурации Active Directory и переназначить полномочия на уровне организации для всех объектов Exchange Server.

Консоль ADSI Edit с отображением наследования полномочий для административных групп

увеличить изображение
Рис. 12.5. Консоль ADSI Edit с отображением наследования полномочий для административных групп
Дополнительная информация. Подробнее о том, как блокировать наследование полномочий, рассказано в книге Microsoft Windows 2003 Security Administrator's Companion (автор Roberta Bragg, издательство Microsoft Press).

Создание группы администрирования

Поскольку Exchange Server 2003 устанавливается во многих компаниях небольшого и среднего масштаба, интерфейс Administrative and Routing Group (Группы администрирования и маршрутизации) отключен по умолчанию. Чтобы увидеть эти группы, перейдите в окно вкладки General (Общие) окна свойств организации (см. рис. 12.6) и в области Administrative Views (Административные просмотры) включите опцию Display Routing Groups (Отображать маршрутные группы) и опцию Display Administrative Groups (Отображать административные группы), согласно надобности.

Включение интерфейса Administrative and Routing Group

Рис. 12.6. Включение интерфейса Administrative and Routing Group
Примечание. Хотя на рисунке 12.6 показан интерфейс в собственном режиме (native mode), эти конфигурации можно выбрать в смешанном режиме. Нет необходимости находиться в собственном режиме, чтобы отобразить группы маршрутизации и администрирования.

Следует отметить, что если сервер Exchange 2003 инсталлирован в существующем сайте Exchange 5.5, то интерфейс Administrative and Routing Group активизирован по умолчанию. Каждый сайт Exchange 5.5 отображается в оснастке Exchange System в виде отдельной административной группы. Для получения дополнительной информации о совместном использовании серверов Exchange 2003 и Exchange 5.5 обратитесь к лекции 3 курса "Переход к Microsoft Exchange Server 2003 и поддержка Outlook".

После активизации интерфейса групп администрирования и маршрутизации можно начать установку административных групп. Для этого откройте оснастку Exchange System, щелкните правой кнопкой мыши на контейнере Administrative Groups (Группы администрирования), наведите указатель мыши на пункт New (Создать) и выберите пункт Administrative Group (Группа администрирования). На рисунке 12.7 показано окно свойств, в котором будет осуществляться работа. Введите имя создаваемой административной группы, введите нужные примечания в окне вкладки Details (Дополнительно), после чего будет создана группа администрирования.

Страница свойств новой группы администрирования

Рис. 12.7. Страница свойств новой группы администрирования

После создания группы администрирования следует перейти к созданию дочерних объектов для этой группы. По умолчанию в группе не создается никаких объектов. Если щелкнуть правой кнопкой мыши на группе, появится контекстное меню, с помощью которого можно создать три новых контейнера:

  • контейнер Routing Groups (Маршрутные группы);
  • контейнер System Policy (Системная политика);
  • контейнер Public Folders (Общие папки).

Создание нового контейнера

Чтобы создать новый контейнер, который будет контролироваться данной группой администрирования, выберите нужный тип контейнера в контекстном меню ( рис. 12.8). После этого внутри данной группы будет создан соответствующий контейнер. При создании контейнеров на экране не появится какое-либо окно мастера. Также станет видно, что нет надобности в установке каких бы то ни было свойств, поскольку это просто контейнер. Этот объект можно рассматривать как блок, который содержит другие блоки, ни больше и не меньше. По мере создания групп маршрутизации для них будут указываться реальные свойства.

Примечание. На рисунке 12.8 показаны три опции для выбора, но иногда будут отображаться только две опции. Опция создания контейнера общих папок не появится на экране, если это новая группа администрирования, и внутри нее еще не создано других контейнеров. После создания нового контейнера, такого как Routing Groups, при создании второго контейнера будет видно, что в списке появилась опция Public Folders Container (Контейнер общих папок). Опция создания контейнера общих папок также не появится в списке, если уже создан контейнер этого типа, поскольку для каждой группы администрирования требуется только один контейнер общих папок.
Контекстное меню новой группы администрирования с отображением типов контейнеров, которые могут быть созданы

увеличить изображение
Рис. 12.8. Контекстное меню новой группы администрирования с отображением типов контейнеров, которые могут быть созданы

Объекты сервера и группы администрирования

В Exchange Server 2003 серверы всегда устанавливаются по умолчанию в группе First Administrative group внутри контейнера Server (Сервер). (First Administrative group [Первая группа администрирования] – это имя по умолчанию; его можно изменить в соответствии с соглашением об именовании групп администрирования. Для этого следует щелкнуть на имени правой кнопкой мыши.) Отметим, что нельзя создать контейнер серверов внутри новой группы администрирования и затем перемещать в нее серверы из группы First Administrative group. Эта особенность обусловлена структурой Exchange Server.

При создании новой группы администрирования автоматически создается контейнер Servers (Серверы) для этой группы, но он не отображается в оснастке Exchange System. Это видно на примере группы администрирования Hawaii. Если посмотреть на эту группу администрирования в окне оснастки Active Directory Sites and Services (Active Directory –сайты и службы), работающей в режиме Show Services (Отображение служб), то станет видно, что в группе Hawaii Admin group создан контейнер серверов (Servers) и контейнер Advanced Security (Дополнительная защита), несмотря на то что эти контейнеры не отображаются в окне оснастки Exchange System. Однако после установки сервера в группе администрирования этот объект-сервер появится в окне оснастки Exchange System. Поэтому необходимо создать группы администрирования до начала инсталляции серверов Exchange 2003, если планируется использовать эти серверы в нескольких группах администрирования.

Объект сервера группы администрирования Hawaii Admin group в окне оснастки Active Directory Sites and Services

Рис. 12.9. Объект сервера группы администрирования Hawaii Admin group в окне оснастки Active Directory Sites and Services
Дальше >>
< Лекция 11 || Лекция 12: 12345 || Лекция 13 >

Вопросы и ответы

вопросов: 0