Защита и управление учетными записями в Exchange Server 2010/Windows Server 2008 R2 (часть 1)

Автор: Aport Среда, Ноябрь 12th, 2014 Нет комментариев

Рубрика: Windows 7

Active Directory является одним из основных компонентов Exchange Server, и все серверы Exchange полагаются на Active Directory. В этой статье мы рассмотрим некоторые новые функции Windows Server 2008 R2 Active Directory, которые могут помочь администраторам Exchange; мы также рассмотрим шаги для того, как использовать интегрированные функции Exchange Server для повторного подключения удаленных почтовых ящиков.

Вы, вероятно, заметили, что в названии статьи я использовал слово ‘учетные записи’ вместо почтовых ящиков/баз данных. Причина этого заключается в том, что мы не будем рассматривать восстановление баз данных или что-то подобное. У нас есть отличные инструменты (DPM является одним из таких инструментов), но мы сконцентрируем свое внимание на том, как обслуживать и восстанавливать управление пользователями с помощью штатных инструментов, имеющихся в обоих продуктах.

Exchange Server 2010 и Windows Server 2008 R2 имеют много полезного для администраторов Exchange, в последней версии у нас были учетные записи Active Directory, элементы почтовых ящиков и отключенных почтовых ящиков для восстановления определенных элементов, прежде чем прибегнуть к использованию инструментов сторонних производителей. Сегодня, используя самые свежие продукты, мы можем воспользоваться такими функциями, как учетные записи Active Directory, корзина Active Directory Recycle Bin, почтовые ящики и архивы, которые удваивают количество инструментов для работы! Однако не стоит об этом беспокоиться, взгляните на это с другой стороны, поскольку у нас теперь есть больше возможностей восстановления утраченных элементов и объектов!!

Мы также увидим некоторые методики, которые можно использовать для защиты некоторых специальных объектов Organization Units/Users от их случайного исключения.

Понимание различий между удалением и отключением почтового ящика

Прежде чем приступать к защите своих объектов, необходимо понять различие между удалением и отключением учетной записи с использованием Exchange Server 2010 (это же применимо к другим версиям, но мы будем рассматривать Exchange Server 2010 в этом цикле). Всякий раз, когда вы выбираете почтовый ящик, используя консоль управления Exchange Management Console, у вас есть опция Отключить (Disable) или Удалить (Remove) в панели инструментов или при нажатии правой клавишей на объекте, как показано на рисунке 1.


Рисунок 1

Опция Отключить удалит атрибуты выбранных почтовых ящиков, но она не удалит объект пользователя Active Directory, что означает, что пользователь все также будет иметь возможность входить в свой ящик, получать доступ к файлам, используя тот же пароль. Однако если выбрать опцию Удалить, вы удалите объекты Active Directory, а это означает что почтовый ящик и пользователь AD исчезнут.

Любой способ позволяет нам подключать ранее удаленные почтовые ящики. Суть в том, что вы не сможете восстановить пользовательские настройки, если выберите опцию Удалить, поскольку атрибуты Active Directory для таких пользователей не будут заданы автоматически. Например, группы и пароли не будут одинаковыми, и потребуется процесс настройки вручную. Однако для решения этой проблемы мы будем использовать функцию корзины Active Directory Recycle bin, которая позволяет нам это делать, это новая функция в Windows Server 2008 R2 и подробнее мы рассмотрим ее в следующей статье.

Предельное время сохранения для отключённых и удаленных почтовых ящиков устанавливается на уровне базы данных, мы можем определить эти параметры следующим образом:

1.Открываем консоль Exchange Management Console
2.Разворачиваем Microsoft Exchange On-Premises
3.Разворачиваем Organization Configuration
4.Нажимаем на Mailbox
5.Переходим в закладку управления базами данных Database Management
6.Нажимаем правой клавишей на необходимой базе почтовых ящиков и переходим в закладку Предельные значения (Limits), как показано на рисунке 02
7.Мы можем указывать, сколько дней удаленный почтовый ящик будет храниться в нашей базе данных и требуется ли резервная копия перед окончательным удалением почтового ящика из базы данных по истечении указанного выше периода. Параметром по умолчанию будет 30 дней и опция Не удалять окончательно элемент, пока не будет создана резервная копия базы данных (Don’t permanently delete item until the database has been backed up) не отмечена.

Примечание: Максимальное количество дней составляет 24855 дней, и не забудьте, что большее количество дней влияет на размер базы данных.


Рисунок 2

И еще один момент об удалении и отключении: действием кнопки Удалить (Delete) по умолчанию будет отключение почтового ящика.

Защита пользователей и организационных подразделений

Одной из функций, представленных в Windows Server 2008, была возможность защиты организационных подразделений (Organization Units) от случайного удаления (рисунок 3). В этой статье мы используем Windows Server 2008 R2, и всякий раз при создании нового OU эта опция будет включена по умолчанию, поэтому они будут защищены по умолчанию.


Рисунок 3

Если какой-то пользователь, и даже админ, пытается удалить Organization Unit, он получит отчет об ошибке (рисунок 04), говорящий о том, что у него либо нет разрешения, либо объект защищен.


Рисунок 4

Если пользователь действительно хочет удалить Organization Unit, ему нужно включить опцию Дополнительные компоненты (Advanced Features) в Active Directory Users and Computers и затем нажать правой клавишей на желаемом Organization Unit и убрать флажок с опции Защитить объект от случайного удаления (Protect object from accidental deletion), как показано на рисунке 5. После этого он сможет удалить Organization Unit, трудно поверить, что после всех этих операций удаление окажется ошибочным.


Рисунок 5

Вы также можете обеспечить защиту на уровне пользователей, хорошим примером здесь будет учетная запись руководителя, которую вам точно не нужно удалять. Используя Active Directory Users and Computers при включенной опции Advanced Features (используя Active Directory Users and Computers, нажмите Вид (View), а затем Показать дополнительные компоненты (View Advanced Features)), мы можем перейти в свойства пользователя, перейти в закладку Объект (Object) и в этой закладке отметить опцию Защитить объект от случайного удаления (Protect object from accidental deletion), как показано на рисунке 6.


Рисунок 6

Если вы попытаетесь удалить пользователя с помощью Active Directory Users and Computers, вы получите подобное сообщение об ошибке, рисунок 07.


Рисунок 7

Теперь, когда мы знаем различия между функциями отключения и удаления на стороне Exchange, мы можем отключать почтовые ящики без каких-либо проблем, и защита, указанная в предыдущем шаге не войдет в силу, поскольку, как мы видели ранее, отключение удалит лишь некоторые атрибуты, а не весь объект из Active Directory, однако если мы попробуем удалить почтовый ящик, ошибка, показанная на рисунке 8, будет отображена.


Рисунок 8

Заключение

В этой первой части цикла мы рассмотрели различия между функциями удаления и отключения в Exchange Server 2010 , а также то, как защищать объекты Active Directory с помощью встроенных средств операционной системы. В следующей статье мы включим функцию корзины Active Directory Recycle Bin и посмотрим, как использовать ее для улучшения стратегии восстановления в Exchange. Мы также рассмотрим процесс восстановления почтовых ящиков и архивов с помощью Exchange Server 2010.

 

Источник: winzone.ru

Оставить комментарий

Чтобы оставлять комментарии Вы должны быть авторизованы.

Похожие посты