注重 在混合模式組織中,每個站點都是一個治理組,不能使用本節討論的治理模型。
使用分散式治理模型
在分散式治理模型中,對 Exchange 系統治理的整體控制分散在公司的各個地理區域或分部中。在這種類型的模型中,每個區域或分部控制它自己的資產,并負責對自己的系統進行治理。
這種類型的組織可能在每個分部或團體都至少有一個治理組。每個位置都有它自己的 Exchange 治理員組,這個組對其治理組中的對象具有完全治理控制權。
許多公司實行分散治理模型,目的前鎦鏡拿扛齜種Щ棺災髟誦小@紓珻ontoso 在美國、歐洲和亞洲的每個全球性分支機構都對自己分支機構的治理組、路由組、策略、服務器、公用文件夾樹以及其他對象具有控制權(見圖 2.12)。
使用集中式治理模型
在集中式治理模型中,一個或幾個受控制的治理組保持對 Exchange 系統的完全控制權限。例如,圖 2.13 表明 Contoso 在西雅圖的治理組對公司的 Exchange 系統擁有完全控制權限。
這種治理模型類似于一個數據中心,其中的所有治理任務都由一個信息技術組執行。這種治理模型在中小型組織中是很常見的,但是也可以用在與所有區域辦公室都具有高帶寬連接的大型組織中。
使用混合治理模型
在混合模型中,治理組同時反映了功能和地理分布。您可以創建專門的治理組以便限定某些功能的治理由特定人群負責,并創建其他治理組以便沿著地理路線委派治理任務。為了說明這種類型的模型,下面列舉了一些您可能需要創建的治理組示例:
· 要限定可以創建并維護策略的用戶,可以專門為治理策略而創建一個治理組,這是一項功能性的任務。
· 為了治理特定區域中的公用文件夾,可以創建一個治理組來專門治理該區域的公用文件夾,這是出于地理位置上的考慮。
通常,對于在許多地理位置有多個分部或辦公室的大型組織而言,應使用混合治理模型。在一家公司收購另一家公司的情況下,也可以使用混合模型。
圖 2.14 顯示 Contoso 如何在其組織中應用混合治理模型。為了集中治理公用文件夾和策略,Contoso 為治理公用文件夾而創建了一個中心治理組,為治理策略而創建了另一個治理組。余下的治理組是區域性的,并答應對其他功能(如路由組)進行區域性控制。
顯示治理組
在 Exchange 2003 或 Exchange 2000 組織中安裝 Exchange 后,Exchange 系統治理器并不會自動顯示治理組和路由組。必須配置 Exchange 組織顯示治理組。在配置此設置后,可以查看"治理組"容器并為組織創建其他治理組。
注重 假如在 Exchange 5.5 站點中安裝 Exchange 2000(或更高版本),默認情況下 Exchange 將啟用治理組和路由組。這種情況下,每個 Exchange 5.5 站點都以治理組的形式出現。
顯示治理組
1. 在 Exchange 系統治理器中,用鼠標右鍵單擊您的 Exchange 組織,然后單擊"屬性"。
2. 在"常規"選項卡上(見圖 2.15),選擇"顯示治理組"。
3. 重新啟動 Exchange 系統治理器以應用更改。
創建治理組
在 Exchange 組織的默認配置中,只存在一個治理組。可以將所有服務器安裝到這一個治理組中(這在集中式治理模型中很有用),也可以創建其他治理組并將服務器安裝到相應的治理組中(基于治理模型)。
默認情況下,Exchange 將所有服務器安裝到"第一個治理組"中的"服務器"容器中。可以重命名"第一個治理組",并添加新的系統容器,但是不能從該組的"服務器"容器中刪除服務器。
注重 在混合模式組織中,每個 Exchange 5.5 站點都成為它自己的治理組,并且治理組名稱與站點名稱匹配。
只能在安裝服務器的過程中將其添加到治理組中。最好是在組織中的第一臺 Exchange 服務器上創建必要的治理組,然后將其他服務器安裝到相應的治理組中。永遠不能在治理組之間移動服務器。
注重 SP1 中的新增功能:可以在混合模式下的治理組之間移動郵箱。最好是只在某些情況下(例如,站點合并期間)才以混合模式跨治理組移動郵箱。有關具體信息,請參閱"規劃 Exchange Server 2003 郵件系統"(http://go.microsoft.com/fwlink/?LinkId=21766) 和"Exchange Server 2003 部署指南"(http://go.microsoft.com/fwlink/?LinkId=21768)。
創建新的治理組
· 在 Exchange 系統治理器中,用鼠標右鍵單擊"治理組",指向"新建",然后單擊"治理組"。
在治理組之間移動對象
可以將一個治理組中的一些對象移動到另一個組。但是,另外一些對象是不能移動的。
下面列舉了可以在治理組之間移動的對象:
· 系統策略
· 公用文件夾
· 路由組成員服務器(僅限于純模式)
· Exchange Server 2003 SP1 和更高版本中的郵箱。最好是只在某些情況下(例如,站點合并期間)才以混合模式跨治理組移動郵箱。有關具體信息,請參閱"規劃 Exchange Server 2003 郵件系統"(http://go.microsoft.com/fwlink/?LinkId=21766) 和"Exchange Server 2003 部署指南"(http://go.microsoft.com/fwlink/?LinkId=21768)。
下面列舉了不能在治理組之間移動的對象:
· 服務器
· 容器
只能在相同類型的容器之間移動對象。例如,可以將系統策略從一個系統策略容器移動到另一個治理組中的另一個系統策略容器,但是不能將系統策略移動到公用文件夾容器中。這種類型的操作默認情況下被禁止。
在治理組之間移動系統策略或公用文件夾
· 將系統策略或公用文件夾從源容器中剪切下來,⒄程僥勘耆萜髦小?br>
-或者-
· 將系統策略或公用文件夾從源容器拖動到目標容器中。
注重 在治理組之間移動或復制對象后,需單擊"刷新"才能在新的容器中看到對象。
刪除治理組
只能刪除不包含對象的治理組。在刪除某個治理組中的所有對象后,可以將該治理組刪除。
刪除治理組
· 在 Exchange 系統治理器中,展開"治理組",用鼠標右鍵單擊要刪除的治理組,然后單擊"刪除"。
使用系統策略
系統策略是應用于一個或多個服務器、郵箱存儲或公用文件夾存儲的配置設置的集合。例如,要在多個服務器上啟用郵件跟蹤,可以只定義一個策略,而不必重復執行這一繁瑣的任務 - 在每個服務器上逐個設置策略以便啟用郵件跟蹤。定義并實現策略后,可以通過編輯策略并應用更改來更改組織中所有服務器的配置。
為某個治理組創建的系統策略通常應用于該組中的對象。但是,系統策略也可以應用于它所在治理組之外的對象。例如,通過在一個中心治理組中創建服務器策略,并將它應用于組織中的所有服務器,可以對所有服務器實現一致的郵件跟蹤選項。
策略出現在治理組下的"系統策略"容器中(見圖 2.16)。
有三種類型的系統策略:
· 公用文件夾存儲策略:答應配置跨越公用文件夾存儲的設置。
· 郵箱存儲策略:答應配置跨越郵箱存儲的設置。
· 服務器策略:答應在服務器上啟用郵件跟蹤選項。
對于這三種類型的系統策略,本節將只具體討論服務器策略。有關配置公用文件夾存儲策略或郵箱存儲策略的信息,請參閱第 7 章"治理郵箱存儲和公用文件夾存儲"。
了解系統策略如何影響各個設置
系統策略使用 apply-time 實現來影響配置更改。可以創建策略、為該策略指定設置、將該策略與一個或多個服務器或公用文件夾存儲關聯,然后應用該策略。應用策略后,各個對象特有的相應設置將不可用,并呈現為灰色。這是因為這些設置現在由策略而不是各個對象控制。例如,假如創建啟用郵件跟蹤的策略,并將該策略應用于 Exchange 服務器,則該服務器的郵件跟蹤選項將不可用(見圖 2.17)。此配置使得治理員可以防止由策略控制的各個對象的設置被進一步更改。
創建服務器策略
您對郵件跟蹤使用服務器策略,并維護郵件跟蹤日志文件的設置。當啟用郵件跟蹤以便跟蹤郵件時,Exchange 將郵件存儲在郵件跟蹤日志文件中。通過啟用主題日志記錄和顯示,可以在郵件跟蹤中心存儲郵件主題。可以使用郵件跟蹤中心查看郵件。第 3 章"配置 Exchange 服務器設置"進一步具體說明了郵件跟蹤和主題日志記錄。
在治理組中創建服務器策略(或創建其他任何系統策略)之前,必須添加系統策略容器。創建系統策略容器后,即可創建服務器策略。
創建系統策略容器
· 在 Exchange 系統治理器中,展開"治理組",用鼠標右鍵單擊相應的治理組,指向"新建",然后單擊"系統策略容器"。
創建服務器策略
1. 在 Exchange 系統治理器中,展開"治理組",再展開相應的治理組,用鼠標右鍵單擊"系統策略",指向"新建",然后單擊"服務器策略"。
2. 在"常規(策略)"選項卡上(見圖 2.18),選擇如下選項:
· 要記錄郵件主題,并使該主題在郵件被跟蹤后可見,請選擇"啟用主題日志記錄和顯示"。
· 要跟蹤流進/流出服務器的所有郵件,請選擇"啟用郵件跟蹤"。
處理策略沖突
假如新建的策略與現有策略中的設置沖突,Exchange 將顯示對話框通知您發生沖突。默認情況下,較新的策略將替換較舊的策略。例如,您用指定的配置創建服務器策略,并希望將該策略添加到特定的服務器中。但是,假如該服務器已處在另一個策略的控制下,將出現一個對話框,提示您確認是否要取消另一策略對該服務器的控制。可以選擇取消前一個策略對該服務器的控制,或應用剛剛創建的新策略。假如不解決策略沖突,將出現下列消息:
The objectname (for example, Server1) could not be associated with policy policyname (ServerPolicy) because you refused to remove the object from the control of conflicting policies.
將服務器添加到服務器策略中
創建服務器策略后,必須將服務器添加到該策略中。
將服務器添加到服務器策略中
1. 在 Exchange 系統治理器中,展開"治理組",再展開包含服務器要添加到的服務器策略的治理組,展開"系統策略",用鼠標右鍵單擊該服務器策略,然后單擊"添加服務器"。
2. 在"選擇將受此策略控制的項目"對話框中(見圖 2.19),鍵入服務器名,然后單擊"確定"。
注重 圖 2.19 顯示了在 Microsoft Windows Server? 2003 上運行 Exchange 2003 時出現的對話框。假如在 Windows? 2000 Server 上運行 Exchange,此對話框提供相同的功能,但顯示稍有不同。
查看受系統策略控制的對象
使用 Exchange 系統治理器,可以查看系統策略控制的對象,或 Exchange 應用于某個對象的策略:
· 要查看策略控制的對象,請單擊"系統策略"容器中的策略。將在具體信息窗格中的"策略應用于"下列出對象。
· 要查看 Exchange 應用于特定對象的策略,請單擊服務器"屬性"對話框中的"策略"選項卡。
在治理組之間復制系統策略
在 Exchange 2003 中,可以在位于不同治理組中的策略容器之間復制或移動策略。復制策略有助于您在委派治理控制權的同時,在各個治理組的策略之間保持一致或類似的設置。例如,可以創建一次服務器策略,然后將它復制到需要的其他每個治理組中的系統策略容器中。然后,各個治理組的治理員可以基于此模板自定義策略,以便治理與自己的治理組關聯的對象。
注重 請記住,只能在治理組之間復制各個策略,而不能將系統策略容器從一個治理組復制到另一個治理組。
在治理組之間復制策略對象
1. 在 Exchange 系統治理器中,用鼠標右鍵單擊該策略,再單擊"復制",然后將該策略粘貼到目標容器中。
2. 用鼠標右鍵單擊目標容器,然后單擊"刷新"查看該容器中的策略。
復制策略后,必須將它應用于該策略復制到的治理組中的各個服務器、郵箱存儲或公用文件夾存儲。
修改或刪除策略
可以修改應用于一個或多個對象的策略以更改所有對象的屬性。
修改策略
1. 在 Exchange 系統治理器中,用鼠標右鍵單擊要修改的策略,再單擊"屬性",然后使用各個選項卡修改策略。
2. 在進行必要的修改后,用鼠標右鍵單擊策略,然后單擊"立即應用"以應用更改。
要分別更改各個對象的屬性,還可以取消策略對某個對象的控制,或刪除策略本身。
取消策略對某個對象的控制
1. 在 Exchange 系統治理器中,展開"系統策略",然后單擊相應的系統策略。
2. 在"策略應用于"列中,用鼠標右鍵單擊對象,指向"所有任務",再單擊"從策略中刪除"。
刪除策略
· 在 Exchange 系統治理器中,用鼠標右鍵單擊要刪除的策略,然后單擊"刪除"。
應用策略后,關聯的對象上與該策略關聯的設置保持不變,即便已取消策略對某個對象的控制或已刪除策略本身,也是如此。假如要更改策略應用的設置,必須在各個服務器、郵箱存儲或公用文件夾存儲上進行此項操作。
治理權限
治理 Exchange 組織時,一些最為重要的安全任務將涉及到權限。在 Exchange 2003 中正確地治理權限確保了用戶和治理員能夠成功地完成他們必須執行的那些任務,同時防止用戶和治理員有意或無意地執行不適當的任務。
在 Exchange 2003 中,可以治理的權限有三組:
· Exchange 對象的權限。這些設置存儲在 Active Directory 和 Microsoft Internet 信息服務 (IIS) 元數據庫中。
· 存儲權限。
· NTFS 文件系統卷上的文件權限。
這些權限共同提供了在 Exchange 2003 安裝中的所有元素上實現安全性的方法。
本節集中講述了使用 Exchange 系統治理器治理 Active Directory 和 IIS 元數據庫中的 Exchange 對象的權限。有關治理存儲權限的具體信息,請參閱第 7 章"治理郵箱存儲和公用文件夾存儲"。有關了解和治理 NTFS 權限的具體信息,請參閱 Windows 文檔和資源工具包。
要點 應只使用 Exchange 系統治理器來設置 Exchange 對象的權限。
了解 Exchange 對象和 Exchange 系統治理器
安裝的 Exchange 軟件中的大多數元素都是通過對象來表示的。例如,服務器本身、SMTP 虛擬服務器以及郵箱存儲都表示為對象。對其中每個對象的控制都是通過一組安全權限來實現的。Exchange 2003 中對象的權限是基于 Windows 操作系統通過 Active Directory 和 IIS 實現的權限構建的。Exchange 2003 使用 Active Directory 和 IIS 元數據庫來存儲有關 Exchange 對象的權限信息。
考慮到有關 Exchange 對象的信息存放在兩個位置這一事實,應使用 Exchange 系統治理器來治理這些對象。這一工具統一表示存儲在 Active Directory 和 IIS 元數據庫中的對象。因此,可以通過一個界面治理存儲在兩個位置的對象。
Exchange 系統治理器暴露的權限模型是基于 Windows 安全模型構建的,后者是基于隨機訪問控制概念的面向對象安全模型。這意味著每個 Exchange 對象都有它自己的獨立權限(以便控制對該對象的訪問),并且這些權限可以由具有適當權限級別的任何人治理。此權限模型使得在安全策略要求進行委派的環境中實現委派的權限模型成為可能,即根據特定角色執行的功能性任務,為其分配不同的權限。
但是,使得 Exchange 滿足復雜安全要求的大量對象和權限也使治理工作看上去很復雜。幸運的是,Exchange 系統治理器通過下列功能簡化了權限治理:
· 支持繼續
· 標準安全角色
· Exchange 治理委派向導
這些功能一起發揮作用,簡化了權限的治理,以致于大多數 Exchange 實現都可以實現它們的安全要求,而不必對各個對象的各個屬性設置權限。
支持繼續的好處
在 Windows 中,"繼續"描述的是這樣一個過程:對象在創建時默認情況下繼續其父對象的權限。
繼續簡化了在 Exchange 系統中治理權限的任務,這表現在下列方面:
· 它使得無需在創建子對象時手動對其應用權限。
· 它確保了附屬于父對象的權限以一致的方式應用于所有子對象。
· 假如必須修改某個容器內所有對象的權限,只需更改一次該容器的權限。容器內的對象將自動繼續更改。
對于某些 Exchange 對象,可以自定義此繼續。這些對象包括公用文件夾樹、地址列表和郵箱存儲。對于這些對象,可以指定子對象不繼續權限。或者,可以指定下列容器或子容器繼續權限:
· 僅此容器
· 此容器及所有子容器
· 僅子容器
繼續使得在對象的層次結構中以一致的方式應用權限成為可能。就繼續本身而言,它是一個簡化權限應用的重要工具。
Exchange 中標準安全角色的價值
為了幫助簡化權限治理過程,Exchange 2003 提供了三個預定義的安全角色,可以在 Exchange 治理委派向導中使用這些角色。這些角色是標準權限的集合,可以應用在組織或治理組級別。
注重 有關治理組的信息,請參閱本章前面的"創建和治理治理組"。
帳戶或組應用這些角色后,將立即被授予相應對象上的一組標準權限。角色十分依靠于權限繼續,以確保權限的應用保持一致。應用角色后,與該角色關聯的標準權限通過繼續應用到層次結構中的下級對象。
由于設計角色是為了滿足 Exchange 部署中常見的安全要求,因此應盡可能多地嘗試使用這些角色。
Exchange 2003 提供的標準安全角色有:
· Exchange 治理員(完全控制):該角色對 Exchange 系統信息具有完全治理權限并可以修改權限。此角色適用于必須能夠修改權限以及查看和治理 Exchange 配置信息的人員。
· Exchange 治理員:該角色對 Exchange 系統信息具有完全治理權限。該角色不同于 Exchange 治理員(完全控制)。主要區別是該角色不能修改權限。該角色適用于必須能夠查看和治理 Exchange 配置信息而不需要能夠修改權限的人員。
· Exchange 治理員(僅查看):該角色可以查看但不能治理 Exchange 配置信息。該角色適用于必須能夠查看 Exchange 配置信息而不需要能夠更改該配置信息的人員。與 Exchange 治理員角色一樣,該角色也不能修改權限。
注重 不要將 Exchange 安全角色與 Active Directory 中的安全組弄混。角色是應用于 Active Directory 中的用戶或組的一組標準權限。可以將角色想像成模板,而不要想像成安全組。
由于這些角色是一組標準權限,與安全組不同,角色具有相互取代的固有特性,因此,沒有必要同時應用較高級和較低級的特權角色。應用較高級特權角色已足夠。應用于組織的角色和應用于治理組的角色稍有不同。因此,應用角色后所導致的有效權限也可能稍有不同。
表 2.1 到 2.3 列出了有效權限(基于應用的角色以及應用的位置)。這些表幫助說明了角色是如何相互取代的,以及在組織級別和治理組級別產生的不同影響。
注重 沒有表顯示在治理組級別應用的角色在組織級別應用后的有效角色。這是因為在治理組級別應用的角色只適用于本地治理組。由于治理組位于層次結構中組織級別的下面,因此治理組可以繼續組織的權限,但反過來則不成立。
Exchange 治理委派向導的價值
Exchange 治理委派向導在 Exchange 系統治理器中的組織級別或治理組級別應用標準安全角色。
需記住的一點是,Exchange 治理委派向導以一致的方式對 Exchange 層次結構中的對象應用經過認真測試的權限。由于權限應用的這種一致性,因此該向導是在 Exchange 環境中治理權限的推薦和首選的方法。可以對各個對象應用自定義權限,但前提是安全策略要求這樣做,并且是在完成測試之后。手動創建自定義權限增加了出現人為錯誤的可能性。還增加了由于誤解權限的工作原理而創建不適當權限的可能性。此外,自定義的安全設置需要更多的維護,因為必須對它們進行存檔,并且必須對自定義設置進行檢驗。雖然在某些情況下自定義安全設置是適宜的,但是必須認真地權衡風險和成本。
可以從組織級別或治理組級別啟動 Exchange 治理委派向導。本章前面的"Exchange 中標準安全角色的價值"已指出,與角色關聯的權限將在層次結構中從啟動該向導時所在的對象向下應用。例如,假如在組織級別啟動該向導,與角色關聯的權限將應用于層次結構中組織以下的所有對象,包括所有的治理組。或者,假如在治理組啟動該向導,與角色關聯的權限將只應用于該治理組中的對象。
當啟動 Exchange 治理委派向導時,它會提示您指定要將安全角色應用于哪些用戶和組。通常,建議您將用戶放入安全組內,然后使用向導對這些組應用角色。對各個用戶應用權限很快就會使得治理工作變得很困難。
向導完成后,Exchange 系統治理器將權限應用于層次結構(向導啟動時所處的位置)中選定的組或用戶。權限將通過繼續在層次結構中向下傳播。通過使用該向導,只需若干次單擊操作便可對 Active Directory 和 IIS 元數據庫中的 Exchange 對象設置所有權限。
注重 有關治理存儲權限的具體信息,請參閱第 7 章"治理郵箱存儲和公用文件夾存儲"。
新聞熱點
疑難解答
