Så har du endelig fått installert Exchange Server 2003 og du er klar til å håndtere brukere og grupper som skal ha adgang til Exchange-serveren. Del 1 fokuserte på selve installasjonen, mens denne delen vil fokusere på administrasjon av brukere og grupper.
Forfatter: Ragnar Harper (e-post: ragnar AT harper.no) er medlem av Microsofts Speaker Commmunity.
Speaker Community består av en håndfull medlemmer med toppkompetanse innen en rekke Microsoft løsninger. Speaker Communitys primære fokus er teknisk rådgivning og de er viktige bidragsytere på en rekke norske Microsoft arrangementer som foredragsholdere. |
Gikk du glipp av første delen av denne tredelte serien, anbefaler vi at du leser guiden Kom i gang med Microsoft Exchange Server 2003 først.
Adminverktøy
For vanlig administrasjon er det primært to verktøy vi bruker, Exchange System Manager (ESM) og Active Directory Users and Computers (ADUC).
Administrasjon av brukere og grupper skjer via Active Directory Users and Computers, mens konfigurasjonen av Exchange skjer via Exchange System Manager.
Det er verdt å merke seg at ADUC er en egen versjon, og ikke samme versjon som installeres på domenekontrollere. Det betyr at for å få Exchange valgene er du nødt til å installere Exchange-versjonen av ADUC.
Jeg regner med at de fleste av dere er kjent med Active Directory Users and Computers, så jeg tar meg friheten å gå direkte løs på Exchange System Manager.
Følgende tabell gir deg oversikt over de ulike containerne (eller mappene om du vil) i Exchange System Manager:
| Containere | Beskrivelse |
Global Settings | Konfigurering som er felles for hele Exchange organisasjonen settes her. Det betyr at innstillinger her blir gjeldene for alle brukere og alle Exchange Servere. Her setter vi blant annet filtrering av tilkoblinger(for blant annet antispam og størrelsesbegrensninger) i tillegg til at vi kan aktivere eller deaktivere organisasjonens mobilitetsfunksjoner. |
Recipients | Adresselister, oppdatering av epostadresser,, postboks innstillinger(policy basert) |
Administrative Groups | Administrative Groups (AG) er en samling med Active Directory objekter som grupperes sammen for rettighetshåndtering. Ulike Administative groups kan administreres av forskjellige personer. I tillegg kan en Administrative Group inneholde policies, routing grupper, fellesmappe hieraki, og serverse. Administrative grupper er kun synlig hvis de er aktivert. De kan aktiveres ved å høyreklikke på Organisasjonsnavnet i Exchange System Manager, velge Properties og General. Velg Show Administraitve Groups. |
Servers | Under her finner du serverspesifikke instillinger, slik som køer, postboks databaser, fellesmappe databaser, og protokoller. |
System Policies | Inneholder policier over systeminnstillinger. Policiene kan knyttes mot et teller flere Active Directory objekter. |
Routing Groups | Routing Groups definerer den fysiske Exchange topologien, med hvilke Exchange Servere som fysisk står nærme hverandre. Tilsvarende Administrative Groups må disse aktiveres. Du kan aktivere visning av Routing Groups fra samme sted som du aktiverte Administrative Groups. |
Folders | Her finner du Fellesmappe hierakiet. Herfra kan du se status på fellesmapper, hvilke servere de ligger på, eventuelt replikeringsstatus med mer. |
Tools | Her finner du verktøy for å spore meldinger og kjøre recovery på postbokser. |
Hvordan slå på visning av Routing Groups og Administrative Groups. Høyreklikk på organisasjonsnoden (den øverste mappen) og velg Properties.
Ulike typer objekter
Exchange bruker ordet recipients om objekter som som kan motta meldinger via Exchange Server. Disse objektene ligger definert i Active Directory, og er knyttet opp mot Exchange. Definisjonen av recipients ligger altså i Active Directory, mens selve meldingene ligger i Exchange databasen.
Når en bruker for eksempel logger seg på for å sjekke sin epost, vil brukeren bli autentisert mot Active Directory, før han får adgang til Exchange serveren.
Følgende Active Directory objekter kan være Exchange recipients:
- Users
- InetOrgperson
- Contacts
- Groups
- Querybased Distribution Groups
- Public Folders
Vi skiller mellom to typer Exchange recipients, mailbox enabled og mail enabled. Et mailbox enabled objekt kan sende, motta og lagre meldinger. Et mail-enabled objekt kan kun motta meldinger. Av objektene ovenfor er det kun User og InetOrgPerson objektet som kan være mailbox enabled. Alle de andre kan kun være mail-enabled. User og InetOrgPerson kan også mail-enables hvis du ikke ønsker at de skal kunne sende og lagre epost.
Når det gjelder Public Folders (fellesmapper) så fungerer de litt annerledes enn de andre objektene, og jeg kommer tilbake til public folders virkemåte.
User og InetOrgPerson
User og InetOrgPerson objektene er ganske like i funksjonalitet. InetOrgPerson objektet er en utvidelse av User objektet som støtter InetOrgPerson standarden, for kompabilitet med andre katalogtjenester. Skal du bruke InetOrgPerson objektet krever det at du kun har Windows Server 2003 domenekontrollere, og Exchange Server 2003 (ikke Exchange 2000 eller 5.5).
Med et User- eller InetOrgPerson-objekt kan brukeren logge på i nettverket.
- Hvis objektet mailbox-enables vil brukeren få en personlig postboks, hvor ulike typer meldinger kan lagres, i tillegg til at det kan sende og motta epost.
- Hvis objektet mail-enables vil det være i stand til å motta epost på en ekstern epostkonto.
Begge typer objekter vil være med i den globale adresselisten (kalles for GAL, Global Address List). I tillegg kan objektene være medlemmer i grupper.
Ulikt Exhange 5.5 er det i Exchange 2000 og 2003 et en-til-en forhold mellom en postboks og objektet knyttet til det. Det betyr at et user objekt kan kun være knyttet til en postboks. Selv om det er mulig å gi flere tilgang til postboksen, vil det kun være en bruker som er eier av postboksen.
Contacts
Contacts er objekter som kan mailenables. Disse objektene kan ikke logge på nettet, men kan være medlem i grupper. Contacts vil også vises i den globale adresselisten.
Hvis du ønsker at eksterne personer med tilknytning til firmaet skal vises i den globale adresselisten eller i felles adresselister, kan du legge dem inn som contacts.
Av erfaring har jeg sett at enkelte ikke benytter den globale adresselisten eller adresselister, men bruker kontaktmapper i fellesmapper til å håndtere slike. Hvilken løsning du bruker er opp til deg, men fordeler du får med Contacts er blant annet at kontakten ligger definert i Active Directory , at kontakten kan være medlem i grupper og at man kan videresende til kontakten. Med å videresende til kontakten mener jeg at du på serveren kan sette opp en videresendingsregel på en postboks til en kontakt.
Group og query-based distribution groups
Et group object kan inneholde ulike objekter, slik som users, InetOrgPerson, Contacts, Public Folders og andre grupper. En group kan mailenables, og da vil den fungere som en distribusjonsliste hvor alle medlemmene i gruppen får eposten.
En query-based distribution group bruker en LDAP spørring til å dynamisk bygge medlemskapet ved sending. Det vil si at når en epost sendes til en query-based distribution group så vil det være en spørring som avgjør hvem det sendes til. En slik spørring kan for eksempel være av typen ”Alle User objekt med City=Trondheim”. På denne måten vil medlemskapet i gruppen dynamisk avgjøres basert på resultatet av spørringen.
Kilde: Ragnar Harper, Harper Security Consulting As