了解多邮箱搜索
**适用于:**Exchange Server 2010
**上一次修改主题:**2010-01-20
如果您的组织遵循法律发现要求(与组织策略、遵从性或诉讼相关),Exchange Server 2010 多邮箱搜索可以帮助您对 Exchange 邮箱内的相关内容执行发现搜索。
多邮箱搜索利用的是由 Exchange 搜索创建的内容索引。Exchange 控制面板 (ECP) 为非技术人员,如法律法规事务主管、记录管理员和人力资源 (HR) 专家等,提供易于使用的搜索界面。基于角色的访问控制 (RBAC) 提供了 发现管理 管理角色组,该角色组将发现任务委派给非技术人员,而无需提供提升的权限,提升的权限会允许用户对 Exchange 配置进行任何操作性的更改。
目录
用于多邮箱搜索
基于 Exchange 搜索
发现管理角色组和管理角色
发现邮箱
执行发现搜索
查看搜索结果
发现搜索的日志记录
合法保留和发现
用于多邮箱搜索
以下是多邮箱搜索的一些常见用法:
- **法律发现:**遵循邮件记录的法律发现请求正日益成为卷入诉讼的组织最重要的任务之一。如果没有专用的工具,在可能位于不同邮箱数据库中的多个邮箱内搜索邮件记录将是一项非常耗费时间和资源的任务。多邮箱搜索使您能够搜索来自一个或多个 Exchange 2010 服务器的多个邮箱中存储的大量电子邮件,并且这些服务器很可能位于不同的位置。
- 内部调查:多邮箱搜索有助于将管理员或法律部门请求简化为内部调查的一部分。
- 人力资源监视:多邮箱搜索有助于简化 HR 的请求,无论该请求是标准的电子邮件监视要求还是特定的搜索。
返回顶部
基于 Exchange 搜索
多邮箱搜索使用的是由 Exchange 搜索创建的内容索引。为了提供多邮箱搜索需要的广泛搜索功能,还向 Exchange 搜索中添加了新功能。使用单一内容索引引擎,当 IT 部门收到发现请求时,无需使用其他资源便可在多邮箱搜索中进行爬网和索引邮箱数据库。
有关 Exchange 搜索的详细信息,请参阅了解 Exchange 搜索。
多邮箱搜索还使用高级查询语法 (AQS),这是 Microsoft Outlook 2007 及更高版本中“Windows 搜索”和“即时搜索”常用的查询语法。精通 AQS 的用户可以轻松构建强大的搜索查询以搜索内容索引。
有关 AQS 的详细信息,请参阅高级查询语法。
发现管理角色组和管理角色
对于执行发现搜索的用户,您必须将其添加到 发现管理 RBAC 角色组。该角色组包含两个管理角色:邮箱搜索角色,它允许用户执行发现搜索;合法保留角色,它允许用户合法保留邮箱。有关 发现管理 RBAC 角色组的详细信息,请参阅发现管理。有关 RBAC 的详细信息,请参阅了解基于角色的访问控制。
默认情况下,发现管理 角色组中没有任何成员。未向任何用户分配执行与发现相关的任务的权限。默认情况下,Exchange 管理员也没有执行发现搜索的权限。审核 RBAC 角色更改可确保保留了适当的记录,以便跟踪 发现管理 角色组的分配。有关详细信息,请参阅管理员审核日志记录概述。
重要
如果用户未添加到 发现管理 角色组或未分配邮箱搜索角色,则不会在用户的 Exchange 控制面板中显示多邮箱搜索用户界面,且 Exchange 命令行管理程序中的多邮箱搜索 cmdlet 不可用。
有关将用户添加到 发现管理 角色组的详细信息,请参阅将用户添加到“发现管理”角色组。
警告
多邮箱搜索是一项强大的功能,可以允许具有相应权限的用户可能可以访问存储在 Exchange 2010 组织中的所有邮件记录。控制和监视发现活动是很重要的,这些活动包括将成员添加至 发现管理 角色组或任何其他具有邮箱搜索管理角色的角色组,以及分配邮箱搜索管理角色和对发现邮箱的邮箱访问权限。
返回顶部
发现邮箱
执行发现搜索时,必须指定要存储搜索结果的目标邮箱。发现邮箱是一种特殊类型的 Exchange 2010 邮箱,它具有以下功能:
- 更加轻松安全的目标邮箱选择:当您使用 ECP 创建发现搜索时,只有发现邮箱可作为存储搜索结果的存储库。无需在可能很长的组织可用邮箱列表中费心挑选。这也消除了发现管理员出错的可能性,例如不小心选择了其他用户的邮箱或可能存储了敏感邮件内容的不安全邮箱。
- 大型邮箱存储配额:目标邮箱应能够存储大量发现搜索可能返回的邮件。默认情况下,发现邮箱的邮箱存储配额为 50 千兆字节 (GB)。您可以修改配额,以使其满足自己的需要。
- 默认安全:与所有邮箱类型一样,发现邮箱具有关联的 Active Directory 用户帐户。但是默认情况下,此帐户为禁用状态。只有被显式授权访问发现邮箱的用户可以访问。发现管理 角色组的成员具有对默认发现邮箱的完全访问权限。对于您创建的任何其他发现邮箱,未将邮箱访问权限分配给任何用户。
- 电子邮件传递已禁用:虽然电子邮件在 Exchange Server 地址列表中可见,但用户不能将其发送至发现邮箱。使用传递限制可禁止对发现邮箱进行电子邮件传递。这可保留搜索结果的完整性。
Exchange 2010 安装程序创建了一个显示名称为“发现搜索邮箱”的发现邮箱。可以使用命令行管理程序创建其他发现邮箱。默认情况下,对于您创建的其他发现邮箱,不会分配任何邮箱访问权限。有关如何创建发现邮箱的详细信息,请参阅创建发现邮箱。
多邮箱搜索还将使用显示名称为“SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9}”****的系统邮箱来保留多邮箱搜索元数据。系统邮箱在 Exchange 管理控制台 (EMC) 或 Exchange 地址列表中不可见。在删除多邮箱搜索系统邮箱所在的邮箱数据库之前,必须将该邮箱移动到其他邮箱数据库。
返回顶部
执行发现搜索
已添加至 发现管理 角色组的用户可以执行发现搜索。有关 发现管理 角色组的详细信息,请参阅本主题前面的发现管理角色组和管理角色。
在 ECP 中可以使用基于 Web 的界面执行发现搜索,如下图所示。这可以使非技术人员,如记录管理员、法规事务主管或法律和 HR 专家可以更加轻松地使用多邮箱搜索。还可以使用命令行管理程序执行发现搜索。
发现搜索界面
.gif "执行邮箱搜索")
执行搜索时,将在 Exchange 2010 中创建一个搜索对象。可以通过操纵该对象来启动、停止、修改或删除搜索。发现搜索返回的项目将被复制到选作搜索目标邮箱的发现邮箱中。可以同时运行多个搜索。
备注
多邮箱搜索是一项 Exchange 2010 功能。使用多邮箱搜索只能搜索位于 Exchange 2010 服务器上的邮箱。
多邮箱搜索不会搜索 .pst 文件中的邮件。为了减少管理和法律发现的费用,我们建议为用户提供存档邮箱。有关存档邮箱的详细信息,请参阅了解个人存档。
以下内容适用于执行发现搜索:
关键字:可以指定关键字和短语来搜索邮件内容。还可以使用逻辑运算符 AND、OR 和 NOT。若要搜索包含多个单词的短语的完全匹配项,必须在该短语前后加上引号。例如,搜索短语**“计划和竞争”将返回包含该短语的完全匹配项的邮件,而指定计划和竞争**则将返回任何地方包含单词“计划”和“竞争”****的邮件。还可以使用 AQS。有关详细信息,请参阅高级查询语法。有关高级关键字搜索的详细信息,请参阅高级关键字搜索。
备注
多邮箱搜索不支持正则表达式。
发件人和收件人:若要缩小搜索范围,可以指定邮件的发件人或收件人。可以使用电子邮件地址、显示名称或域名来搜索发送到或来自指定域中每个用户的邮件。例如,若要查找由任何用户发送至 Contoso, Ltd. 的电子邮件,可以在 ECP 的“发件人”字段中指定 @contoso.com。还可以在命令行管理程序的 Senders 参数中指定 @contoso.com。
日期范围:默认情况下,多邮箱搜索不限制搜索的日期范围。若要搜索某个特定日期范围内发送的邮件,可以通过指定开始和结束日期来缩小搜索范围。如果不指定结束日期,则每次重新启动搜索时将返回最新结果。
邮箱:多邮箱搜索可以搜索所有位于 Exchange 组织中的 Exchange 2010 邮箱服务器上的邮箱,或者您可以指定要搜索的邮箱。还可以指定一个通讯组,以包含作为该组成员的邮箱用户。
个人存档:默认情况下,如果对邮箱用户启用了个人存档,则多邮箱搜索还会搜索存档邮箱。ECP 中没有覆盖此设置的选项。若要排除存档邮箱,必须使用命令行管理程序创建或修改搜索。
邮件类型:默认情况下,只搜索电子邮件。但是,也可以包括以下要搜索的邮件类型:联系人、文档、即时消息对话、日记、会议和便签。
附件:多邮箱搜索能够搜索受 Exchange 搜索支持的附件。通过安装搜索筛选器(也称为 iFilter),可以添加对邮箱服务器上的其他文件类型的支持。
不可搜索的项目:不可搜索的项目是指 Exchange 搜索无法通过索引找到的邮箱项目。原因包括未对附加文件安装搜索筛选器、筛选器错误和加密邮件。创建发现搜索时,搜索结果中可以包含不可搜索的项目。
安全列表:某些文件类型不包含可编入索引的内容,因此未编入 Exchange 搜索的索引。通过在注册表中创建空筛选器值,可以将这些文件类型添加到安全列表。Exchange 安装程序会为多个文件类型创建空筛选器注册表值。包含这些文件类型的邮箱项目不能在失败项目列表中返回。有关默认搜索筛选器和默认空筛选器条目的列表,请参阅Exchange 搜索的默认筛选器。
加密项目:因为使用 S/MIME 加密的邮件未编入 Exchange 搜索的索引,所以多邮箱搜索不会搜索这些邮件。如果选择了在搜索结果中包括失败项目的选项,则这些使用 S/MIME 加密的邮件将作为失败项目返回。
受 IRM 保护的项目:使用信息权限管理 (IRM) 保护的邮件编入了 Exchange 搜索的索引,因此其包括在发现搜索结果中。必须通过将 Active Directory 权限管理服务 (AD RMS) 服务器作为同一个 Active Directory 林中的 Exchange 2010 邮箱服务器来保护邮件。有关 IRM 的详细信息,请参阅权限保护。
重要
当由于解密失败或 IRM 被禁用,Exchange 搜索无法将受 IRM 保护的邮件编入索引时,不会将受保护的邮件添加到失败项目的列表。如果选择了在搜索结果中包括失败项目的选项,则结果中可能不包括无法解密的受保护邮件。
若要在搜索中包括受 IRM 保护的邮件,可以创建其他发现搜索以返回包含 .rpmsg 附件的邮件。可以使用查询字符串attachment:rpmsg搜索所有受保护的邮件。这将返回来自所搜索邮箱的所有受 IRM 保护的邮件,无论这些邮件是否已编入索引。当某个搜索返回与搜索条件匹配的邮件时,搜索条件为包括成功编入索引的受保护邮件,这可能会导致部分搜索结果重复。该搜索不会返回无法编入索引的受保护邮件。对所有受保护邮件执行的第二次搜索还包括第一次搜索返回的成功编入索引的受保护邮件。此外,第二次搜索返回的受保护邮件可能与用于第一次搜索的搜索条件(如关键字)不匹配。
有关如何执行发现搜索的详细信息,请参阅创建发现搜索。
返回顶部
查看搜索结果
会将搜索结果复制到被选择作为搜索操作的目标邮箱的发现邮箱中。如果使用默认发现搜索邮箱以外的目标邮箱,必须将邮箱访问权限分配给已授权用户,以使其可以访问该发现邮箱。已授权用户可以使用 Outlook Web App 或 Outlook 访问该邮箱。
若要了解如何将完全访问邮箱权限分配给某个用户,请参阅管理完全访问权限。
将在目标邮箱中创建一个与搜索同名的新文件夹。为了存储从该邮箱返回的邮件,将为每个搜索的邮箱创建一个子文件夹。文件夹名称由邮箱用户的显示名称和搜索创建时的日期和时间组成。邮件将复制到名称与其在搜索邮箱中的位置相同文件夹中。例如,如果搜索名称为 Discovery-ProjectContoso,返回的邮件位于 Paul Shen 主邮箱的收件箱文件夹中,则在发现邮箱中创建的文件夹层次结构将为“Discovery-ProjectContoso -> Paul Shen-9/4/2009 3:57:10 PM -> 主邮箱 > 收件箱”。将保留所有邮件标志,包括已读/未读状态和跟进标志。
返回顶部
发现搜索的日志记录
有两种类型的日志记录可用于发现搜索:
- 基本日志记录:默认情况下将为所有邮箱搜索启用基本日志记录。基本日志记录包含有关搜索和搜索执行人员的信息。使用基本日志记录捕获的信息会显示在发送到存储搜索结果的邮箱的电子邮件正文中。此邮件位于为存储搜索结果而创建的文件夹中。
- 完整日志记录:完整日志记录包含搜索返回的所有邮件的信息。此信息以逗号分隔值 (.csv) 文件的形式提供,该文件附加到包含基本日志记录信息的电子邮件中。搜索的名称将用作 .csv 文件的名称。出于遵从性或保留记录的目的,可能需要此信息。若要启用完整日志记录,必须在 EMC 中选择“启用完整日志记录”,或使用命令行管理程序中的 LoggingLevel 参数指定日志记录级别。
备注
还可以在使用命令行管理程序创建或修改搜索时禁用日志记录。
有关详细信息,请参阅多邮箱搜索日志记录。
返回顶部
合法保留和发现
作为发现请求的一部分,您可能需要将邮箱内容保留至诉讼解决之后。若要保留邮箱内容,还必须保留邮箱用户已删除或更改的邮件。在 Exchange 2010 中,通过使用“可恢复邮件”文件夹可完成此操作。
对邮箱使用合法保留时,用户删除的邮件和其他邮箱项目以及对邮箱项目所作的所有更改实例,都将保留在“可恢复邮件”文件夹中。根据邮箱数据库或邮箱用户的配置,超出已删除邮件恢复期的已删除邮件将对用户不可见,但仍保留在“可恢复邮件”文件夹中。这使得此类项目以及对邮箱项目所作的所有更改实例都将在发现搜索中返回。
有关合法保留的详细信息,请参阅了解合法保留。有关如何合法保留邮箱的详细信息,请参阅将邮箱置于合法保留中。
有关可恢复邮件的详细信息,请参阅Understanding Recoverable Items。
返回顶部