大家都知道,针对活动目录来讲,根据作用范围可以分为通用、全局和域本地;而其类型可以分为用于通信的通讯组和用于权限指派的安全组。之前讲述了在Exchange Server 2013中通讯组的管理,那么在企业中还可能出现对于一些用户,他们可能需要对某些资源相同的访问权限,而且有需要接收发送给他们的群发邮件。比如,一个项目组的成员,他们都需要访问某个UNC路径内容,而且由于项目需要,经常要同时该组用户群发邮件。那么这种情况就可以使用安全组,并在Exchange Server 2013中针对该安全组启用邮件功能。这样就不需要单独为邮件和权限分别建立两个不同的组了。
但由于安全组可用于权限指派,所以建议在规划是需要特别谨慎,以免出现将不合适的收件人对象误添加到安全组中,导致权限泄露。
一、通过EAC管理安全组
1、通过IE访问https://exchange-server(FQDN)/ecp打开EAC。在Exchange管理中心窗口中,点击导航栏中的“收件人”,选择右边窗口导航条中的“组”,点击添加“+”按钮,在下拉菜单中选择“安全组”。
2、在“新建安全组”窗口中定义该通讯组的“显示名称”和“别名”。和通讯组一样,“别名”将直接影响通讯组的邮件地址。
由于安全组涉及到权限指派,所有其成员自助加入将不被自由开放。在此有两种选择:
I、默认不勾选“需要所有者审批”,那么用户在自行加入该组是会被提示“已自动拒绝加入请求”。
II、勾选“需要所有者审批”,则用户在加入是会被提示“加入请求需要审批”。
3、对于现有安全组可以通过在EAC中双击要配置的通讯组来进行相应的管理,由于该属窗口的大多数选项卡与通讯组相似,在此不再累述。仅介绍不相同的选项卡——“成员身份审批”。
该选项卡只有一个选择项,就是之前控制是否允许用户自助加入的选项。设置方法和作用与创建时相同。但是需要注意,如果该组对象不是通过Exchange创建的,而且通过活动目录管理员基于活动目录创建后,再通过Exchange启用邮件功能的可能会遇到“组 不受任何收件人管理,但MemberJoinRestriction属性被设置为ApprovalRequired。”的告警:
此时,需要确认当前配置用户是否在该组的“所有权”列表中,如果不在,请将当前用户添加到该列表。默认情况下,该列表为空。在进行添加是会收到不是该组管理者,权限不足的通知。此时,需要在“活动目录用户和计算机”控制台中,打开该组的属性对话框,选择“管理者”选项卡,指定相应的管理者。
二、通过EMS管理安全组
通过EMS管理安全组的命令和管理通讯组的命令类似,均使用关键名词“DistributionGroup”。
看到这个词,估计绝大部分早期Windows活动目录的管理员就会高兴了,这不就是Windows Server 2000活动目录中的“分布式组”吗?的确,现在活动目录中的“通讯组”但是就叫“分布式组”。
1、通过Get-DistributionGroup现有所有启用的邮件的安全组,筛选其组类型为“MailUniversalSecurityGroup”,即:
Get-DistributionGroup-ResultSize unlimited -Filter {(RecipientTypeDetails -eq‘MailUniversalSecurityGroup‘)}
2、使用Set-DistributionGroup来修改现有安全组的设置。比如,出于安全问题,需要将指定的安全组在用户邮件地址列表中隐藏。
Get-DistributionGroup-ResultSize unlimited -Filter {(RecipientTypeDetails -eq‘MailUniversalSecurityGroup‘)} | Set-DistributionGroup-HiddenFromAddressListsEnabled $true
该设置一旦生效,在EAC中能够确认其存在:
但在用户客户端的邮件地址列表中却没有显示:
3、通过Enable-DistributionGroup为活动目录中现有安全组启用邮件功能。
Enable-DistributionGroup"Beijing Sales" -Alias bjsales
本文所述:
操作系统版本:Windows Server 2012R2 Datacenter Edition
邮件系统版本:Exchange Server 2013SP1 Enterprise Edition
易宝典文章——怎样管理Exchange Server 2013安全组