от Michael Bell

Тема сегодняшней статьи отчасти вызвана вопросом одного из читателей нашей группы новостей и посвящена отображению адресных списков. Этот читатель искал способ создания нового адресного списка, но такого, чтобы только определенные пользователи имели возможность получать доступ к нему. Прекрасно, вот и давайте займемся этим сегодня и прямо сейчас перейдем к делу. Первый рисунок взят из Outlook и показывает различные адресные списки, настроенные и доступные для клиентов. То, что я сейчас буду делать, представляет собой двухступенчатый процесс. Во-первых, я создам новый адресный список и покажу, как это делается. После этого мы удостоверимся, что адресный список становится видимым и доступен для тех пользователей Outlook, которые подключаются и пытаются получить доступ к информации, содержащейся в адресном списке. Затем, я пойду дальше и сделаю этот адресный список невидимым, так чтобы только определенные пользователи с соответствующими разрешениями могли бы иметь возможность подключаться к нему или только видеть то, что соответствующий адресный список существует.

Первое, на что я обращу ваше внимание – это адресный список по умолчанию, который можно видеть в Outlook 2000. Если вы посмотрите на рисунок 1, то увидите, что в нем нет ничего необычного, хотя он и содержит один специально созданный мною адресный список, называемый Demo.

Рис. 1.

Первое, что я сделаю теперь – это сяду за компьютер, на котором запущен ESM (Exchange System Manager) и раскрою папку Recipients (получатели), а затем узел All Address Lists (все адресные списки). Это даст мне возможность видеть различные адресные списки, часть из которых была создана по умолчанию в ходе установки Exchange 2000. Вы можете видеть эти списки на рисунке 2.

Рис. 2.

Теперь я создам новый адресный список. Исходя из нашей задачи, я решил назвать его Confidential (конфиденциальный). Это должно напоминать нам, что мы не хотим, чтобы кто-либо видел его и поэтому позднее скроем его от посторонних глаз. Итак, я щелкаю правой кнопкой мыши All Address Lists, выбираю опцию New и Address List и создаю адресный список, называемый Confidential. Рисунок 3 показывает, как я выполняю эту работу:

Рис. 3.

Рисунок 4 демонстрирует заключительный шаг.

Рис. 4.

Готово! Мы потратили на это меньше времени, чем требуется для похода на почту для покупки нескольких почтовых марок!!! Хочу, однако, заметить, что у нас пока не настроено членство в этом адресном списке и решение этой задачи будет следующим нашим шагом, к которому я перехожу. Бывают случаи, когда адресные списки в Exchange 2000 имеют определенные настройки, унаследованные от их предков. Так как адресный список Exchange 2000 не что иное, как LDAP фильтр, членство в нем выстраивается динамически при его создании. Поэтому давайте сейчас займемся формированием нашего адресного списка. Нашим следующим шагом будет определение LDAP фильтра, устанавливающего членство для адресного списка Confidential. Первое, что нужно сделать для создания LDAP фильтра, это открыть окно Properties для вновь созданного списка, как это показано на рисунке 5.

Рис. 5.

Как видно из рисунка, пока не определено ни одного LDAP фильтра, поэтому данный адресный лист не содержит никакой информации. Я должен определить, кого или что ищу, а также другие критерии, которые хочу применить. Есть одна замечательная вещь в протоколе LDAP. Он допускает чрезвычайно подробную настройку, так что вы можете создать адресный список, который покажет любое требуемое представление вашей Exchange Организации, какое бы вы не пожелали! Теперь нам необходимо конкретно определить наш фильтр, для чего мы щелкнем кнопку Modify. Перед нами появится окно, показанное на рисунке 6.

Рис. 6.

Существует буквально тысячи различных критериев поиска, по которым вы можете определить ваших пользователей, но для нашего примера мы создадим специально настроенный поиск. Чтобы сделать это, я выбираю вкладку Advanced и вот как она будет выглядеть:

Рис. 7.

Теперь я заполню свойства, которые хочу использовать для адресного списка. В нашем случае я хочу, чтобы адресный список отображал только тех пользователей, атрибутом City для которых является Tampa (т.е. те из них, кто живет в городе Tampa). Если вы хотите увидеть, как выглядит LDAP фильтр, взгляните на рисунок 8.

Рис. 8.

Может быть, это не та вещь, которая требуется вам на каждый день, но все же помните, что в Exchange 2000 у вас есть возможность создавать ваши собственные LDAP фильтры в случае необходимости. Я также предпочитаю более простые подходы, поэтому стараюсь решить конкретные задачи при помощи вкладки Advanced. Если вы посмотрите в нижний правый угол окна, изображенного на рисунке 8, вы увидите кнопку Preview. Нажав эту кнопку, я понуждаю Exchange применить этот фильтр ко всем объектам моей Exchange Организации и вернуть только те из них, которые удовлетворяют этим определенным условиям. И еще одно, если вы еще раз посмотрите на фильтр, изображенный на рисунке 8, то заметите, что среди всех других видов объектов я искал только объекты Пользователь. Поэтому в моем адресном списке будут присутствовать только пользователи. Рисунок 9 подтверждает мои слова.

Рис. 9.

И последнее, в чем стоит убедиться, это то, что клиенты также могут видеть этот наш адресный список. Для этого мне необходимо войти в Outlook и выбрать значок Address book (адресная книга). Если я проделал все действия правильно, то когда я раскрою выпадающий перечень адресных списков, я должен увидеть адресный список Confidential и в нем должно быть перечислено два члена (пользователя). Посмотрите на рисунок 10. Все верно?!…

Рис. 10.

Похоже, с этой задачей мы справились. Адресный список доступен на клиенте Outlook и в нем представлены только те пользователи, которых определили мы. Стоит сказать, что содержание адресной книги может легко измениться. Все что нужно сделать для этого, это открыть свойства одного из объектов Пользователь и изменить название его города на Tampa. Если я сделал это и запущу RUS (Recipient Update Service), я смогу увидеть обновленное содержание в моей адресной книге. Имейте ввиду, что этот процесс может занять несколько минут, в зависимости от схемы вашей Exchange Организации и лежащей в ее основе сети. Также не забудьте, что фильтр выбирает только определенные типы объектов, в данном случае – это пользователи. Так если бы я обновил атрибут City для Контактов (contact) в моей Организации Exchange, они бы так и не появились в адресном списке. Теперь давайте посмотрим, как настроить адресные списки, чтобы они были доступны только для определенных пользователей и групп. Это может быть особенно привлекательным в случае, если на вашем единственном Exchange Server размещено несколько организаций и вы хотите обеспечить защищенность каждой из них. Может быть еще множество других причин для того, чтобы сделать так. Я хочу предложить вам один примерный сценарий, но вы можете придумать и собственные, если захотите. Особо подчеркну, что я абсолютно уверен, что есть и другие способы достижения этой цели. И это замечательно. Я просто демонстрирую вам, каким образом я решаю эту задачу.

Мы можем решить нашу задачу, установив значение Deny (запретить) для разрешения Open Address List (открыть адресный список). Но с этим связана одна проблема. Она заключается в том, что хотя пользователи и не смогут увидеть содержание адресных списков, они все же смогут видеть сами адресные списки! А ведь я хочу скрыть все, что напоминает о списках.

Поэтому нам придется вернуться к ESM. Мы займемся созданием адресного списка, который будет выступать в роли контейнера для всех адресных списков, которые мы хотим скрыть. Затем мы можем удалить или запретить разрешение на просмотр содержания списка для определенных групп или пользователей для того, чтобы определить, кто может, а кто не может видеть отдельные адресные списки. Давайте вернемся к статье, в которой я рассказывал о назначении различным административным группам прав в вашей Exchange Организации. Если вы помните, у нас было две группы: BostonEXAdmin и TampaEXAdmin. Используя эти группы, я разрешу членам группы TampaEXAdmin получать доступ к адресной книге и одновременно лишу группу BostonEXAdmin возможности даже видеть адресную книгу Confidential. Для этого я запущу ESM и создам пустой адресный список, назвав его HiddenContainer (потайной_контейнер), что вы можете видеть на рисунке 11.

Рис. 11.

Теперь я должен щелкнуть адресный список Confidential и перетащить его в адресный список HiddenContainer, как это показано на рисунке 12.

Рис. 12.

После этого я перейду к свойствам адресного списка HiddenContainer и установлю для группы BostonEXAdmin значение Deny для разрешения List Content (просматривать содержание)!

Рис. 13.

Теперь, как эта работа выполнена, войдем в систему с учетными записями пользователей из разных групп, чтобы удостовериться, что наша задача по ограничению доступа к содержанию разных адресных списков выполнена. Сначала я войду в систему как пользователь из группы TampaEXAdmins, открою Outlook и попытаюсь увидеть все доступные адресные списки. Вот что я увижу:

Рис. 14.

После этого я войду в систему под учетной записью пользователя из группы BostonEXAdmins и вы можете обратить внимание, как изменился вид перечня списков.

Рис. 15.

Итак вы видите, что пользователи группы BostonEXAdmins могут видеть адресный список HiddenContainer, но не видят адресный список Confidential, содержащийся в нем. И, поскольку они не имеют разрешения на просмотр содержания адресных списков, они также не в состоянии видеть членов адресного списка Confidential. Надеюсь, это поможет вам скрывать адресные списки от пользователей. Надеюсь также, что вы найдете эту информацию полезной для вас. Спасибо за вашу поддержку этой серии и до следующей встречи, суа!

Michael Bell, MCSE, MCT.