от Michael Bell

Как и было обещано на прошлой неделе, сегодня мы поговорим об административных группах (administrative group). Это новая конструкция в Exchange 2000, хотя их идея схожа с тем, что было в предыдущих версиях. Я имею ввиду, что административные группы являются набором объектов Exchange 2000, которые группируются вместе для целей управления разрешениями на доступ. Административные группы могут включать в себя группы маршрутизации (routing group), дерево общих папок (public folder tree), политики, сети чатов (chat network), службы телеконференций, сервера и мониторы. Это позволяет осуществлять делегирование административных прав в вашей Организации Exchange и все, что вам может потребоваться, зависит от масштаба вашей реализации Exchange. Это является ключом к пониманию административных групп, потому что если вы единственный администратор в вашей компании или у вас всего два или три сервера Exchange, вам могут и не потребоваться дополнительные административные группы. Однако если ваша компания разделена географически, имеет множество департаментов, подразделений или серверов Exchange, то вам могут потребоваться несколько административных групп.

Другим ключевым моментом, который нужно принять во внимание, является тот факт, что административные группы являются логическими по своей природе. Я имею ввиду, что вы можете базировать ваши административные группы на любом из аспектов вашей Организации, который будет работать на вас. Как я отмечал ранее, это может быть назначение, департамент, географическое положение или некоторое количество серверов. Как вы разделите администрирование вашей организации, всецело зависит от вас. Например, если ваша организация расположена в 30 местах на земном шаре и локальные администраторы в каждом месте контролируют ресурсы Exchange для него, вы можете создать административную группу соответствующую этой структуре, наделяя каждого администратора контролем над ресурсами Exchange для своего, и только своего, местоположения. В других компаниях вам может потребоваться более централизованный административный подход. Это может быть продиктовано необходимостью контроля различных возможностей Exchange со стороны различных административных групп. Например, одна группа может заботиться о группах маршрутизации, другая может управлять политиками получателей (recipient policy) и третья – осуществлять службы телеконференций для всей компании. Вариантов много и они разные.

Говоря об этом, мы должны рассмотреть, КАК осуществляются разрешения в Exchange 2000, потому что, как я упомянул ранее, этот процесс немного отличается от того, как это было в Exchange 5.5. Первое, что мы должны принять во внимание в Exchange 2000 – это тесная интеграция между Exchange и Windows 2000. Exchange больше не поддерживает свою собственную настроечную базу данных, вместо этого вся информация хранится в разделе Конфигурация (configuration) Active Directory. Как вы помните из элементарных учебников по Windows 2000, AD разделяется на три основных самостоятельных раздела. Это разделы Схема (Schema), Именование Доменов (domain naming) и Конфигурация (configuration). В этом-то последнем разделе и хранится наша информация и именно здесь мы будем рассматривать наши разрешения. Но сначала я хочу вернуться еще раз к административным группам.

Первое, что я хотел бы показать вам, это вид ESM (Exchange System Manager), когда мы установили опцию, позволяющую видеть контейнер Administrative Groups. Еще раз: для того, чтобы этот контейнер был виден, нужно взять объект Organization в ESM, щелкнуть правой кнопкой и выбрать Properties, а затем поставить метку в окошке для отображения Administrative Group. Вот, что мы увидим, выполнив установку по умолчанию:

Далее, мы создаем вторую административную группу, для того, чтобы показать, как могут действовать (и переходить) разрешения в компаниях с распределенным администрированием. Мы щелкаем правой кнопкой на контейнере Administrative Groups, выбираем опцию New, Administrative Group, затем вводим имя и уаля! Наша новая административная группа – Tampa – создана.

На данный момент Tampa пуста. Это просто контейнер, ожидающий дня, когда мы, знатные администраторы Exchange, найдем, что они заслуживают быть наполненными нашими серверами Exchange и местоположениями наших серверов, а также деревьями общих папок и политик получателей среди всего прочего. О чем мы, как администраторы Exchange, должны быть осведомлены, так это о том, что раз уж мы решили определить несколько административных групп в вашей Организации, то это становится частью процедуры установки, в ходе которой мы должны определить к какой именно административной группе наш отдельный сервер будет принадлежать. Другой вещью, на которую нужно обратить внимание, является то, что по умолчанию у вас нет опции для создания контейнера Servers ниже вашей новой административной группы. Вы также не имеете возможности переместить сервера из первой административной группы по умолчанию (default first administrative group) в любые другие административные группы, которые вы создаете позднее. И это подводит нас к другому моменту. Некоторые люди хотят создать административные группы до того, как установят какой-либо сервер Exchange в своей организации. Это возможно, но после того, как вы запустите утилиты /ForestPrep и /DomainPrep в вашем лесу Windows 2000. Откройте mmc, выберите ESM и затем следуйте инструкциям, перечисленным выше для создания новой (или нескольких новых), административных групп. Мы можем даже переименовать административную группу по умолчанию на что-то отличное от First Administrative Group, но для того, чтобы сделать это, требуется перейти в раздел Конфигурация, что мы рассмотрим несколько позднее.

Как я упоминал в предыдущем параграфе, создание новой административной группы (в нашем примере, это Tampa) не отображает контейнер Servers по умолчанию. Однако это не означает, что он не был создан. Если вы откроете оснастку Active Directory Sites and Services и выберите меню View, опцию Show Services Node, вы сможете увидеть следующее:

Как вы видите, контейнер Servers был создан, но не отображается по умолчанию в ESM. После того, как мы установим первый сервер в эту заданную административную группу, затем мы увидим, что контейнер Servers будет отображаться. Теперь давайте вернемся назад к административным группам и разрешениям. Я уже упоминал о применении разрешений и о том, какой это важный аспект в управлении вашей реализацией Exchange, поэтому я решил привести в качестве примера назначение разрешений двум моим административным группам при помощи ESM. После этого мы откроем ADSI Edit, утилиту из Resource Kit и посмотрим на раздел Конфигурация и на ту информацию, которая в нем содержится.

Давайте рассмотрим, как применяются разрешения в Организации Exchange и, будем надеяться, что это даст нам хорошие идеи о том, как установить разрешения в распределенной административной среде. Прежде всего, я хотел бы дать для моей первой административной группы (first administrative group) более подходящее название, исходя из того, что моя административная модель основывается на местоположении. Название Tampa Administrative Group – достаточно хорошо звучит, но я хотел бы, чтобы название первой административной группы отражало ее бостонское расположение. Я открываю ADSI Edit и подсоединяюсь к контейнеру Configuration, щелкнув правой кнопкой мыши на объекте ADSIEdit, и выбрав опцию Connect To: окно, которое я при этом увижу, будет выглядеть вот так:

Далее, под вышеназванным объектом я должен выделить объект Configuration Container (Контейнер Конфигурация) и нажать ОК. После этого экран будет выглядеть так: (Прошу заметить, что я также выбрал возможность видеть Domain Naming Partition (раздел Именование Доменов) на этом рисунке). Если вы не выберите ничего другого, кроме раздела Конфигурации для отображения, вы будете видеть только этот узел под объектом ADSI Edit):

Теперь все, что вам требуется, это раскрыть ваш контейнер Configuration и вы сможете увидеть, где отражена ваша Организация Exchange в этой графической схеме.

Как вы видите, наша Организация Exchange 2000 – 2000EXTrainers расположена в левой части, а в правой мы видим контейнер для административных групп. Теперь я собираюсь раскрыть контейнер административные группы, затем первую административную группу и переименовать этот объект, подгоняя его название к нашему расположению в административной схеме. Я просто щелкаю правой кнопкой мыши на первой административной группе, выбираю опцию Rename и, оп па, теперь у нас есть Boston Administrative Group (бостонская административная группа).

До сих пор, единственная вещь, которую я изменил, это название первой административной группы, которое стало теперь: Boston Administrative Group. Как я упоминал ранее, это более соответствует моей административной схеме, в которую входят два местоположения, с администратором Exchange в каждом из них. Теперь я хочу установить разрешения для моих административных групп, так, чтобы только администраторы Exchange из соответствующих групп имели бы разрешения только для этих административных групп. Для того чтобы выполнить эту задачу, я запускаю мастер Exchange Delegation of Control Wizard (делегирования контроля Exchange), для чего щелкаю правой кнопкой мыши на объекте Exchange Organization. Я использую этот мастер для предоставления моим административным группам TampaExadmin и BostonExadmin права Read для всей Организации Exchange. Это на самом деле необходимо, так как они должны видеть контейнеры, которые они будут администрировать. Затем я разверну ADSI Edit, контейнер Configuration и дам каждой группе право Full Control для соответствующей административной группы. Для того чтобы сделать это, я открыл контейнер Configuration, открыл контейнер Services, открыл контейнер Microsoft Exchange и контейнер Administrative Groups. Сначала я щелкнул правой кнопкой мыши на значке Boston Administrative Group, открыл свойства и затем выбрал вкладку Advanced. Щелкнул на кнопку Add Users or Groups (добавить пользователей или группы), выбрал группу BostonExadmins и предоставил ей разрешение Full Control для этой административной группы и всего, что расположено в ней. Потом я повторил этот процесс для административной группы Tampa для соответствующего объекта группа. Следующий рисунок иллюстрирует происходящее:

Для того, чтобы только продемонстрировать, какой эффект мы получим, я добавил одного пользователя в группу TampaExadmins и одного пользователя в группу BostonExadmins. Я также добавил мою личную учетную запись в группу TampaExadmins и вошел в систему сервера Exchange для того, чтобы продемонстрировать, как происходит наследование прав. В данном случае видно, что, хотя я и могу увидеть свойства бостонской административной группы, я не могу сделать никаких изменений.

В данном случае я попытался создать новую группу хранения в Бостоне, но, так как у меня нет административных прав в данной группе, я получил сообщение об ошибке «отказ в доступе», когда я предпринял попытку создать новый объект. В зависимости от нужд организации, я могу даже пойти на то, чтобы лишить администраторов в Тампе возможности видеть конфигурацию Бостона и наоборот, опять же, в зависимости от нужд организации. Будем надеяться, что это поможет разобраться в том, как разрешения распределяются в Exchange и, кроме того, как разрешения распределяются в разделе Конфигурация. Это последнее очень важно, потому что, как мы можем видеть со второго и до последнего рисунка, администраторы предприятия, также как и администраторы домена, имеют значительные права переходящие в организацию Exchange из раздела Конфигурация. И опять же, в зависимости от ситуации, это может быть нежелательным, так что вам придется или удалять соответствующие права групп в организации Exchange или вы можете просто переопределить, что они имеют право делать на данном уровне в дереве. И снова, ваш выбор должен базироваться на нуждах вашей организации. И на этом все об административных группах. Я помню, что я говорил на прошлой неделе о том, что мы рассмотрим и группы маршрутизации, но боюсь, что, вероятно, я был не прав. Я постараюсь, чтобы это не вошло в привычку, но, как вы, возможно, поняли, административные группы являются трудной для понимания возможностью Exchange 2000 и я хотел дать вам полное представление о том, что они собой представляют и как вы можете использовать их. На следующей неделе мы рассмотрим, как разрешать почтовые ящики для учетных записей пользователей в Exchange 2000 и некоторые другие задачи, которые мы может решить при помощи оснастки Active Directory Users and Computers. И до скорого, суа.

Michael Bell, MCSE, MCT.