Szenario: Bereitstellen von Adressbuchrichtlinien
Gilt für: Exchange Server 2013
Bereitstellungsszenarien
In den folgenden drei Szenarien werden mögliche Bereitstellungslösungen für drei verschiedene Organisationstypen beschrieben. Obwohl es viele weitere Szenarien gibt, werden hier die beliebtesten szenarien behandelt. Die Adresslisten und globalen Adresslisten (GALs) in diesen Szenarien wurden basierend auf Filtern wie benutzerdefinierten Attributen erstellt, die die Objekte logisch gruppierten.
Szenario 1: Zwei separate Unternehmen – eine Exchange-Organisation
Dieses Szenario gilt für Regierungsbehörden, Abteilungen oder Abteilungen, die eine gemeinsame Infrastruktur nutzen, aber keine Berichtskette haben und keine gemeinsamen Mitarbeiter haben. Darüber hinaus haben die Abteilungen keine besonderen Sicherheits- oder Datenschutzbedenken. In diesem Szenario werden zwei Adressbuchrichtlinien (ADDRESS Book Policies, ABPs) erstellt, bei denen Mitarbeiter nur Mitglieder derselben Organisation sehen können, wenn die GAL oder die Mitgliedschaft in anderen Verteilergruppen angezeigt wird. Darüber hinaus werden keine Benutzer Mitglieder von Verteilergruppen sein, die die gesamte Organisation umfassen.
.gif "Adressbuchrichtlinien mit zwei separaten Unternehmen")
Die ABPs von Contoso und Humongous Insurance wurden mithilfe der folgenden Adresslisten, globalen Adresslisten, Raumlisten und OABs erstellt, die mithilfe eines Empfängerfilters erstellt wurden, der die Objekte mit einem Filter wie benutzerdefiniertes Attribut gruppierte. Da die beiden Unternehmen getrennt sind, ohne zwischen den beiden zu interagieren, gibt es keine gemeinsamen Adresslisten.
| Contoso | Humongous Insurance | |
|---|---|---|
| Adresslisten | AL_CON_Groups AL_CON_Users AL_CON_Contacts |
AL_HI_Groups AL_HI_Users AL_HI_Contacts |
| Globale Adressliste | GAL_CON | GAL_HI |
| Raumadressliste | AL_CON_Rooms | AL_HI_Rooms |
| Offlineadressbuch (OAB) | OAB_CON | OAB_HI |
Szenario 2: Zwei Unternehmen teilen sich einen CEO
In diesem Szenario teilen sich Fabrikam und Tailspin Toys dieselbe Exchange-Organisation und denselben CEO. Der CEO ist die einzige gemeinsame Person zwischen den beiden Unternehmen. Für dieses Szenario sind drei ABPs erforderlich, die die folgenden Merkmale aufweisen:
- Die Benutzer in Tailspin Toys können Tailspin Toys-Benutzer nur sehen, wenn sie die GAL durchsuchen.
- Die Benutzer in Fabrikam können Fabrikam-Benutzer nur sehen, wenn sie die GAL durchsuchen.
- In jedem Unternehmen gibt es eine Vertriebsgruppe "SeniorLeaders", die die leitenden Führungskräfte dieses Unternehmens und den CEO umfasst.
- Benutzer, die sich die Gruppenmitgliedschaft des CEO ansehen, sehen nur Gruppen, die zum Unternehmen des Benutzers gehören. Sie sehen keine Gruppen, die sich nicht in ihrem eigenen Unternehmen befinden.
- Es werden drei ABPs erstellt: Fab, Tail und CEO.
.gif "Zwei Unternehmen Ein CEO")
| Fabrikam | Tailspin Toys | CEO | |
|---|---|---|---|
| Adresslisten | AL_FAB_Users_DGs AL_FAB_Contacts |
AL_TAIL_Users_DGs AL_TAIL_Contacts |
AL_FAB_Users_DGs AL_FAB_Contacts AL_TAIL_Users_DGs AL_TAIL_Contacts |
| Globale Adressliste | GAL_FAB | GAL_TAIL | Standard-GAL |
| Raumadressliste | AL_FAB_Rooms | AL_TAIL_Rooms | Standard alle Räume |
| Offlineadressbuch (OAB) | OAB_FAB | OAB_TAIL | Standard-OAB |
Wenn der CEO den Verteilergruppen in jeder Organisation hinzugefügt wird und in den Bereich der ABP jedes Unternehmens fällt, wird der CEO für jedes Unternehmen sichtbar. Der CEO kann Verteilergruppen erstellen, die sich über beide Unternehmen erstrecken und innerhalb der GAL jedes Unternehmens sichtbar sind, aber Mitglieder der Verteilergruppe können nur die Mitglieder der Gruppe anzeigen, die sich innerhalb ihrer eigenen Organisation befinden.
Szenario 3: Schulung und Weiterbildung
Dieses Szenario gilt für Schulen oder Universitäten, in denen eine Aufteilung der Klassenräume erforderlich ist, um die Privatsphäre der Schüler zu gewährleisten. Das Education-Szenario weist die folgenden Merkmale auf:
- Schüler/Studenten können nur andere Schüler/Studenten in ihrer Klasse, ihren Lehrer und den Direktor anzeigen.
- Lehrer können nur Schüler in ihren eigenen Klassenzimmern.
- Lehrer können alle anderen Lehrer und den Schulleiter sehen.
- Verteilergruppen werden für die Eltern der einzelnen Kurse und die Fakultät erstellt.
.gif "Schulungsszenario für Adressbuchrichtlinien")
| Students_ClassA | Teachers_ClassA | Principal | |
|---|---|---|---|
| Adresslisten | AL_ClassAAL_Principal | AL_ClassAAL_AllTeachersAL_AllGroupsAL_Principal | AL_ClassA AL_ClassB AL_AllTeachers AL_AllStudents AL_AllGroups |
| Globale Adressliste | GAL_StudentsClassA | GAL_TeachersClassA | GAL_Everyone |
| Raumadressliste | AL_BlankRoom | AL_BlankRoom | Standard alle Räume |
| Offlineadressbuch (OAB) | OAB_StudentsClassA | OAB_TeachersClassA | Standard-OAB |
Überlegungen und bewährte Methoden
Beachten Sie Folgendes, wenn Sie ABPs in Ihrer Organisation verwenden:
Damit ABPs ordnungsgemäß funktionieren, muss sich das Benutzerpostfach, auf das Sie den ABP anwenden, auf einem Exchange 2010 SP3- oder Exchange 2013-Server befinden.
Führen Sie die Exchange 2010-Clientzugriffsserverrolle nicht auf dem globalen Katalogserver aus. Dies führt dazu, dass Active Directory für die Name Service Provider Interface (NSPI) anstelle des Microsoft Exchange-Adressbuchdiensts verwendet wird. Sie können Exchange 2013-Serverrollen auf einem globalen Katalogserver ausführen und die ABPs ordnungsgemäß funktionieren lassen. Es wird jedoch nicht empfohlen, Exchange auf einem Domänencontroller zu installieren.
Sie können hierarchische Adressbücher (Hierarchical Address Books, HABs) und Adressbuchrichtlinien nicht gleichzeitig einsetzen. Weitere Informationen finden Sie unter Hierarchische Adressbücher.
Jeder Benutzer, dem ein ABP zugewiesen ist, sollte in seiner eigenen GAL vorhanden sein.
Wenn Sie Clientanwendungen den direkten Zugriff auf Active Directory über LDAP gestatten, umgehen sie die in ABPs integrierte Logik. Da Outlook für Mac 2011 und Entourage 2008 direkte LDAP-Abfragen für den Zugriff auf Active Directory verwenden, funktionieren diese Clientanwendungen nicht ordnungsgemäß mit ABPs, wenn ein Domänencontroller oder globaler Katalogserver angegeben oder vom AutoErmittlungsdienst bereitgestellt wird. Outlook für Mac 2011 kann EWS oder ein lokales OAB für den Zugriff auf Verzeichnisinformationen verwenden. Wenn Outlook für Mac 2011 jedoch direkt auf einen LDAP-Dienst zugreifen kann, wird dies versucht.
Die in einer ABP verwendete GAL muss mindestens alle Adresslisten enthalten, einschließlich der Raumadressliste, die in einer ABP definiert und angegeben ist. Erstellen Sie keine GAL, die weniger Objekte als eine der Adresslisten in derselben ABP enthält.
Es wird empfohlen, Verteilergruppen zu erstellen, die die Grenzen der virtuellen Organisation nicht überschreiten. Das Erstellen von Verteilergruppen, die Mitglieder mehrerer virtueller Organisationen enthalten, führt zu den folgenden Problemen:
Wenn Gruppenmitglieder beim Senden von E-Mails an die Verteilergruppe Übermittlungs- oder Lesebestätigungen anfordern, können sie die E-Mail-Adressen der Gruppenmitglieder in anderen virtuellen Organisationen sehen.
Wenn eine verschlüsselte Nachricht an die Verteilergruppe gesendet wird und einige Gruppenmitglieder keine gültigen digitalen IDs haben, erhält der Absender eine Warnmeldung, die die Gesamtzahl der Mitglieder ohne gültige IDs und eine Liste ihrer E-Mail-Adressen enthält. Wenn sich jedoch einige dieser Mitglieder ohne gültige digitale IDs in einer anderen Organisation als der Absender befinden, enthält die Warnmeldung die richtige Anzahl, aber nicht die E-Mail-Adressen der Mitglieder in der anderen Organisation. Daher stimmt die Gesamtanzahl nicht mit der Liste der Mitgliedsadressen überein.
Angenommen, eine Verteilergruppe enthält insgesamt fünf Mitglieder aus zwei Organisationen, Agentur A und Agentur B. Drei Gruppenmitglieder stammen aus der Agentur A, und eines dieser Mitglieder hat eine ungültige digitale ID. Die anderen beiden Mitglieder stammen aus der Agentur B, und beide haben ungültige digitale IDs. Wenn ein Mitglied von Agentur A eine verschlüsselte Nachricht an die Verteilergruppe sendet, erhält dieses Mitglied eine Warnmeldung mit dem Hinweis, dass es insgesamt drei Empfänger ohne gültige digitale IDs gibt. In der Warnmeldung wird jedoch nur die E-Mail-Adresse für den Empfänger von Agentur A aufgeführt.
ABPs gelten nicht für die Get-Group-Cmdlets . Daher werden allen Benutzern oder Prozessen, die Get-Group ausführen können, alle Mitglieder jeder Gruppe angezeigt, auf die sie Zugriff haben.
Es wird empfohlen, die Gruppenverwaltungseinstellungen der OWA-Optionen zu ändern, damit Benutzer Outlook Web App nicht zum Verwalten von Gruppen verwenden können. Um zu verhindern, dass Benutzer OWA-Optionen zum Verwalten von Gruppen verwenden, schließen Sie die Benutzer von der RBAC-Rolle MyDistributionGroupMembership aus. Weitere Informationen finden Sie unter MyDistributionGroupMembership-Rolle.
Wenn Sie Benutzern die Verwendung von Outlook oder Outlook Web App zum Verwalten von Gruppen gestatten, müssen die Gruppenbesitzer über vollständige Sichtbarkeit für die Gruppenmitgliedschaftsliste verfügen.
Alle Adressbuchrichtlinien müssen eine Raumadressliste enthalten. Wenn Ihre Organisation jedoch keine Raumadresslisten verwendet, können Sie eine standardmäßige leere Raumadressliste erstellen.
Durch die Bereitstellung von Adressbuchrichtlinien wird nicht verhindert, dass Benutzer aus einer virtuellen Organisation E-Mails an Benutzer in einer anderen virtuellen Organisation senden. Wenn Sie verhindern möchten, dass Benutzer E-Mails organisationsübergreifend senden, empfiehlt es sich, eine Transportregel zu erstellen. Um beispielsweise eine Transportregel zu erstellen, die verhindert, dass Contoso-Benutzer Nachrichten von Fabrikam-Benutzern empfangen, aber dennoch dem leitenden Führungsteam von Fabrikam das Senden von Nachrichten an Contoso-Benutzer ermöglicht, führen Sie den folgenden Shellbefehl aus:
New-TransportRule -Name "StopFabrikamtoContosoMail" -FromMemberOf "AllFabrikamEmployees" -SentToMemberOf "AllContosoEmployees" -DeleteMessage -ExceptIfFrom seniorleadership@fabrikam.comWenn Sie ein Feature wie ABP im Lync-Client erzwingen möchten, können Sie das
msRTCSIP-GroupingIDAttribut für bestimmte Benutzerobjekte festlegen. Weitere Informationen finden Sie im Thema PartitionByOU Ersetzt durch msRTCSIP-GroupingID .
Allgemeine Bereitstellungsschritte
Migrieren von adresslistensegmentierung zu ABPs
Wenn Ihre Organisation die Lösung für die Trennung von Exchange 2007-Adressenlisten mithilfe der Anweisungen im Whitepaper Konfigurieren der Trennung virtueller Organisationen und Adresslisten in Exchange 2007 konfiguriert hat, sollten Sie zunächst zu Exchange Server 2010 migrieren, indem Sie die Schritte unter Migrieren zu Exchange Server 2010 Adressbuchrichtlinien von ausführen. Exchange Server 2007: Adresslistentrennung. Dieses Verfahren erfordert einige Ausfallzeiten für Ihre Organisation, und Sie müssen daher entsprechend planen.
Neue Bereitstellung von ABPs
Wenn Ihre Organisation Exchange 2013-ABPs bereitstellt und die Exchange 2007-Adresslistentrennung nicht verwendet hat, können Sie diese Anweisungen verwenden, um ABPs in Ihrer Organisation bereitzustellen.
Die Schritte in diesem Abschnitt führen Sie durch Szenario 2: Zwei Unternehmen, die sich einen CEO teilen. In diesem Szenario sind zwei Unternehmen (Fabrikam und Tailspin Toys) getrennt, teilen sich jedoch einen CEO und ein leitendes Führungsteam.
Schritt 1: Installieren und Konfigurieren des Routing-Agents für Adressbuchrichtlinien
Wenn Sie ABPs verwenden und nicht möchten, dass Benutzer in separaten virtuellen Organisationen die potenziell privaten Informationen des jeweils anderen anzeigen, können Sie den Routing-Agent für Adressbuchrichtlinien aktivieren. Der Routing-Agent für Adressbuchrichtlinien ist ein Transport-Agent, der auf dem Postfachserver ausgeführt wird und steuert, wie Empfänger in der Organisation aufgelöst werden. Wenn der Routing-Agent für Adressbuchrichtlinien installiert und konfiguriert ist, werden Benutzer, denen unterschiedliche GALs zugewiesen sind, als externe Empfänger angezeigt, da sie die Visitenkarten externer Empfänger nicht anzeigen können.
Ausführliche Anweisungen finden Sie unter Installieren und Konfigurieren des Routing-Agents für Adressbuchrichtlinien.
Schritt 2: Aufteilen Ihrer virtuellen Organisationen
Sie müssen eine Möglichkeit entwickeln, Ihre Organisationen zu spalten. Es wird empfohlen, die CustomAttribute1-15-Eigenschaft für die Postfächer, Kontakte und Gruppen anstelle der vordefinierten bedingten Attribute wie Company, Department oder StateOrProvince zu verwenden, um die virtuellen Organisationen aus den folgenden Gründen zu unterteilen:
Nicht alle Empfängertypen von Objekten verfügen über vordefinierte bedingte Attribute in Active Directory. Beispielsweise unterstützen Verteilergruppen und dynamische Verteilergruppen keine Unternehmens-, Abteilungs- oder Zustandsattribute.
Nicht alle präcannierten bedingten Attribute werden in Cmdlets für einige Empfänger verfügbar gemacht. Beispielsweise sind die Parameter Company, department und StateOrProvince in Cmdlets für E-Mail-Benutzer, Kontakte, Verteilergruppen und E-Mail-aktivierte öffentliche Ordner nicht verfügbar.
Mehrere Cmdlets sind erforderlich, um den Empfänger zu trennen, wenn Sie das vorab vorkonfigurierte bedingte Attribut verwenden. Sie müssen beispielsweise Set-User ausführen, um Company, Department, StateOrProvince für eine UserMailbox zu markieren, nachdem Sie die Cmdlets New-Mailbox oder Set-Mailbox ausgeführt haben.
Die CustomAttributeX-Parameter werden alle im Set-*-Cmdlet für jeden Empfängertyp verfügbar gemacht. Wir können die gesamte Trennung für diesen Typ über ein einzelnes Set-Cmdlet abschließen.
CustomAttributeX-Attribute sind explizit für die Anpassung einer Organisation reserviert und unterliegen vollständig der Kontrolle der Organisationsadministratoren.
Eine weitere bewährte Methode, die Sie bei der Trennung Ihrer Organisation in Betracht ziehen sollten, ist die Verwendung von Unternehmensbezeichnern in den Namen von Verteilergruppen und dynamischen Verteilergruppen. Exchange verfügt über eine Gruppenbenennungsrichtlinie, die dem Namen der Verteilergruppe basierend auf vielen Attributen des Benutzers, der die Verteilergruppe erstellt, automatisch ein Suffix oder Präfix hinzu fügt, einschließlich des Erstellers der Verteilergruppe Company, StateorProvince, Title und CustomAttribute1 zu CustomAttribute15. Die Gruppenbenennungsrichtlinie ist besonders wichtig, wenn Sie Benutzern erlauben, ihre eigenen Verteilergruppen zu erstellen. Weitere Informationen finden Sie unter Erstellen einer Benennungsrichtlinie für Verteilergruppen.
Gruppenbenennungsrichtlinien gelten nicht für dynamische Verteilergruppen, sodass Sie sie manuell trennen und eine Benennungsrichtlinie manuell anwenden müssen.
Schritt 3: Erstellen der Adresslisten, GALs und OABs
Verwenden Sie beim Erstellen der Adresslisten und globalen Adresslisten nicht die Parameter "IncludedRecipient" und "ConditionalX", z. B. ConditionalCompany und ConditionalCustomAttribute5. Sie sollten stattdessen einen Empfängerfilter verwenden. Sie müssen die Shell verwenden, um Empfängerfilter zu erstellen. Weitere Informationen zu Empfängerfiltern finden Sie unter Filtern von Empfängern auf Edge-Transport-Servern.
Beim Erstellen des ABP erstellen Sie mehrere Adresslisten basierend darauf, wie Ihre Benutzer die Adresslisten in Outlook oder Outlook Web App anzeigen sollen. Diese Organisation verfügt über vier Adresslisten:
AL_FAB_Users_DGs
AL_FAB_Contacts
AL_TAIL_Users_DGs
AL_TAIL_Contacts
In diesem Beispiel wird die Adressliste AL_TAIL_Users_DGs erstellt. Die Adressliste enthält alle Benutzer und Verteilergruppen, bei denen CustomAttribute15 gleich TAIL ist.
New-AddressList -Name "AL_TAIL_Users_DGs" -RecipientFilter "((RecipientType -eq 'UserMailbox') -or (RecipientType -eq 'MailUniversalDistributionGroup') -or (RecipientType -eq 'DynamicDistributionGroup')) -and (CustomAttribute15 -eq 'TAIL')"
Weitere Informationen zum Erstellen von Adresslisten mithilfe von Empfängerfiltern finden Sie unter Erstellen einer Adressliste mithilfe von Empfängerfiltern.
Um eine ABP zu erstellen, müssen Sie eine Raumadressliste angeben. Wenn Ihre Organisation nicht über Ressourcenpostfächer wie Raum- oder Gerätepostfächer verfügt, sollten Sie eine leere Adressliste erstellen. Im folgenden Beispiel wird eine leere Raumadressliste erstellt, da keine Raumpostfächer in der Organisation vorhanden sind.
New-AddressList -Name AL_BlankRoom -RecipientFilter "(Alias -ne `$null) -and ((RecipientDisplayType -eq 'ConferenceRoomMailbox') -or (RecipientDisplayType -eq 'SyncedConferenceRoomMailbox'))"
In diesem Szenario verfügen Fabrikam und Contoso jedoch beide über Raumpostfächer. In diesem Beispiel wird die Raumliste für Fabrikam mithilfe eines Empfängerfilters erstellt, wobei CustomAttribute15 gleich FAB ist.
New-AddressList -Name AL_FAB_Room -RecipientFilter "(Alias -ne `$null) -and (CustomAttribute15 -eq 'FAB') -and (RecipientDisplayType -eq 'ConferenceRoomMailbox') -or (RecipientDisplayType -eq 'SyncedConferenceRoomMailbox')"
Die globale Adressliste, die in einem ABP verwendet wird, muss eine Obermenge der Adresslisten sein. Erstellen Sie keine GAL mit weniger Objekten, als in einer oder allen Adresslisten im ABP vorhanden sind. In diesem Beispiel wird die globale Adressliste für Tailspin Toys erstellt, die alle Empfänger enthält, die in den Adresslisten und der Adressliste des Raums vorhanden sind.
New-GlobalAddressList -Name "GAL_TAIL" -RecipientFilter "(CustomAttribute15 -eq 'TAIL')"
Weitere Informationen finden Sie unter Erstellen einer globalen Adressliste.
Wenn Sie das OAB erstellen, sollten Sie die entsprechende GAL einschließen, wenn Sie den AddressLists-Parameter new- oder Set-OfflineAddressBook angeben, um sicherzustellen, dass kein Eintrag unerwartet verpasst wird. Grundsätzlich können Sie den Satz von Einträgen anpassen, die einem Benutzer angezeigt werden, oder die Downloadgröße des OAB verringern, indem Sie eine Liste von AddressLists in AddressLists von New/Set-OfflineAddressBook angeben. Wenn Benutzern jedoch der vollständige Satz von GAL-Einträgen in OAB angezeigt werden soll, stellen Sie sicher, dass Sie die GAL in addressLists einschließen.
In diesem Beispiel wird das OAB für Fabrikam mit dem Namen OAB_FAB erstellt.
New-OfflineAddressBook -Name "OAB_FAB" -AddressLists "GAL_FAB"
Weitere Informationen finden Sie unter Erstellen eines Offlineadressbuchs.
Schritt 4: Erstellen der ABPs
Nachdem Sie alle erforderlichen Objekte erstellt haben, können Sie den ABP erstellen. In diesem Beispiel wird die ABP mit dem Namen ABP_TAIL erstellt.
New-AddressBookPolicy -Name "ABP_TAIL" -AddressLists "AL_TAIL_Users_DGs"," AL_TAIL_Contacts" -OfflineAddressBook "\OAB_TAIL" -GlobalAddressList "\GAL_TAIL" -RoomList "\AL_TAIL_Rooms"
Weitere Informationen finden Sie unter Erstellen einer Adressbuchrichtlinie.
Schritt 5: Zuweisen der ABPs zu den Postfächern
Das Zuweisen des ABP zum Benutzer ist der letzte Schritt im Prozess. ABPs werden wirksam, wenn die Anwendung eines Benutzers eine Verbindung mit dem Microsoft Exchange-Adressbuchdienst auf dem Clientzugriffsserver herstellt. Wenn der Benutzer bereits mit Outlook oder Outlook Web App verbunden ist, wenn der ABP auf sein Konto angewendet wird, muss er die Clientanwendung schließen und neu starten, bevor er seine neuen Adresslisten und die GAL sehen kann.
In diesem Beispiel wird allen Postfächern ABP_FAB zugewiesen, bei denen CustomAttribute15 gleich "FAB" ist.
Get-Mailbox -resultsize unlimited | where {$_.CustomAttribute15 -eq "TAIL"} | Set-Mailbox -AddressBookPolicy "ABP_TAIL"
Weitere Informationen finden Sie unter Zuweisen einer Adressbuchrichtlinie zu E-Mail-Benutzern.