在上一篇文章中,我向大家介绍了如何新建管理组、路由组、存储组、存储组下的公用存储和邮箱存储,不过大家千万不要误以为Exchange组织下一定要新建这些东西的,其实在Exchange安装完成后,在默认情况下以上容器都是会被创建一个的,所以如果你的网络规模不大的情况下,其实一个就足够了,没有必要去新建这些容器,这一点还有请大家注意。在这里我要先向大家介绍一下关于安全的配置,OK,那么正式开始了。首先,其实在Exchange系统管理器的一些容器的属性里,还有一个 “安全”标签,只是在默认情况下并不被显示出来而已,这个我们可以通过修改注册表来把它显示出来,点击“开始-运行”,输入:“regedit”,然后回车,依次展开“HKEY_CURRENT_USER—Software—Microsoft—Exchange—EXAdmin”,在里面新建一个DWord值,名称是Showsecuritypage,值为1,如下图所示:
修改完成后退出,然后打开Exchange系统管理器,在组织上单击右键,选“属性”,我们来看一下修改前后有什么区别,先来看一下修改前的:
这也是上一篇文章给大家看到的图,我们再来看一下修改注册表后的:
我想大家应该可以看到区别了吧?那么为什么要显示这个呢,因为有了这个标签我们可以在安全方面做出一些控制后能得到非常直观的显示。
接下去开始真正的安全控制了,我们不妨做一个环境设想:比如一个公司,总公司在北京,一个分公司在广州,一个分公司在上海,总公司和分公司都有Exchange服务器,我们可能不希望广州分公司的Exchange管理员能够对上海分公司的Exchange服务器进行控制,同理,我们也不希望上海分公司的Exchange管理员能够对广州的Exchange服务器进行控制,但是如果把所有的Exchange服务器的管理工作全部交给北京总公司来做的话,那么不但加重了北京公司Exchange管理员的工作量,而且实时性也会大大的降低,并且还会因为物理连接的原因产生各种各样的问题,这是一些公司面临的实际问题,那么如何解决?
现在我们从实际问题回到虚拟环境来,我在上一篇文章的虚拟环境中有两台Exchange服务器,分别是EX1和EX2,EX1属于First管理组,而EX2属于Second管理组,在活动目录里分别存在一个名为“tom”和一个名为“zs”的二个用户:
我们现在希望的结果是“tom”对“First”管理组能够进行管理,但不能管理“Second”管理组,而“zs”只能管理“Second”管理组,不能管理“First”管理组,同时我们也不希望这二个用户能够管理整个组织。接下去,我们开始一步一步的操作:
首先,我们必须先赋于这两个用户对整个组织的只读权限,因为如果这两个用户对整个组织连只读权限都没有的话,那么他们也根本没有办法对各自的管理组进行管理,我们在组织上击右键:
选择“委派控制”:
选择“下一步”:
大家可以看到,在默认情况下域的Administrator已经是Exchange管理员了,而且是完全控制的,点击上面的“添加”按钮:
点“浏览”:
点“确定”:
然后选择一下角色,角色有三种,我稍微解析一下里面的区别:
Exchange管理员(仅查看):只有查看权限,没有任何修改的权限;
Exchange管理员(完全控制):控制有一切权限;
Exchange管理员:除了没有修改安全权限外,其它的权限都有;。
这里我们要选择“Exchange管理员(仅查看)”,然后点“确定”:
按照相同的操作,把“zs”也添加进来就可以看到如下画面:
点“下一步”:
如果没有什么问题的话,点“完成”。
我们现在去看一下整个组织的安全权限经过这一个操作以后发生了什么变化?我们在组织上击右键,选“属性”,然后点“安全”:
大家可以看到,我刚刚添加的“tom”和“zs”已经被添加进来了。具体的权限也可以看清楚了,其实刚刚执行的委派操作在这里也可以进行的,只是如果你对Exchange不是很熟悉的话,你在这里添加用户你会发现里面的很多权限你都不知道是干什么用的。所以一般情况下我还是建议大家用刚刚的向导来做。
接下去我们去看一下“First”管理组下的安全是情况是怎样的?依次展开你的组织—管理组—First,在“First”上击“右键”,选“属性”,点“安全”:
我们可以看到“tom”和“zs”这两个用户也有只读权限,并且呈灰色不可改状态,表示这个权限是继承而来。我们点击一下我用红框标出的“高级”按钮:
去掉我用红框标出的选项前的勾:
点“复制”:
然后点“确定”:
对于上述的警告窗口,点“是”:
大家可以看到现在的权限已经是呈可改状态了,这时如果你要希望“tom”对“first”管理组有管理权限的话,你只要在相应的权限上打上勾就可以了,如果你不希望“zs”用户对“First”查看权限,那么在这里也可直接进行删除,修改完毕后点击“确定”退出。
对于上面的操作可能有些朋友不知道该为“tom”添加多少权限,那么我们还有一个简单的方法,就是和前面一样,用委派的方法来操作,我们在“First”上击右键:
点击“委派控制”:
点“下一步”:
这里我们可以看到一些继承权限,这里的操作和上面的一样,也是点“添加”,只是在选择角色的时候要选“Exchange管理员”,至于是不是选完全控制,大家视实际情况而定了:
然后点“下一步”直到完成。
大家在最后一步点完“完成”以后,会看到下图的提示:
这个提示的意思我想大家都明白,只是本人觉得这个提示有点莫明其妙,因为我的实验结果是,在客户端,也就是没有安装Exchange服务器软件的PC上进行Exchange的管理,一定要安装管理工具,这个安装过程倒是一定要本地的Administrators组成员,但真正进行管理的操作似乎不是本地Administrator权限也没有什么关系,真不知道微软的这句提示到底想说明什么?
然后大家利用相同的操作,把“zs”用户委派成“Exchange管理员”,这里就不再写了。最后大家可以到客户端或注销一下,找成“tom”登陆,当“tom”去管理“First”管理组时不会有任何的问题,但如果去管理“Second”时,会发生如下错误提示:
这就说明我们刚刚的设置已经起作用了。
最后,来看一个系统策略的设置。依次展开“组织—管理组—First”,在“First”上击右键:
选择“系统策略容器”:
然后再在“系统策略”上击右键,选“新建”:
这里我选择“公用存储策略”以说明一下策略的使用方法:
这里,我也是只选择了一项“限制”来说明一下:
名称可以随便输入一个,我这里输入了一个“test”,然后点击“限制(策略)”:
如上图所示,我随便做了一些限制,然后点“确定”:
然后在“test”上击右键:
选择“添加公用存储”:
点“高级”:
点“立即查找”:
由上面的几个操作可知,其实Exchange的很多信息是存在活动目录里的了吧。这里我们选择我们自己在上次新建的“EX1第二个公用存储”,然后点“确定”:
再点“确定”:
选“是”,然后请大家要稍等一会:
现在我们来验证一下这条策略有没有起作用,依次展开“组织—管理组—First—服务器—EX1—EX1 Second Store”,然后在“EX1第二个公用存储”上击右键:
选“属性”:
再选择“限制”:
由上图可以看到,上面的限制内容和我刚刚设定的策略中的内容是完全一致的,并且呈灰色不可选,说明我们刚刚设定的策略已经起作用了。
OK,关于Exchange服务器的初步管理我就先写到这儿了,其实Exchange服务器还有很多其它的操作也是在服务器上完成的,这个在以后的文章中我会陆续向大家介绍。
