将联盟传递邮箱添加到 AD RMS 超级用户组

适用于： Exchange Server 2010 SP2, Exchange Server 2010 SP3

上一次修改主题： 2012-07-23

若要启用以下 Microsoft Exchange Server 2010 信息权限管理 (IRM) 功能，您必须将联合邮箱（由 Exchange 2010 安装程序创建的系统邮箱）添加到您组织的 Active Directory Rights Management Services (AD RMS) 群集上的超级用户组：

• Microsoft OfficeOutlook Web App 中的 IRM

• 日记报告解密

• 传输解密

可以将启用邮件的通讯组在 AD RMS 中配置为超级用户组。通讯组的成员从 AD RMS 群集请求许可证时，将被授予所有者使用许可证。这使他们能够解密由该群集发布的所有 RMS 保护的内容。无论使用现有通讯组，还是创建通讯组并在 AD RMS 中将其配置为超级用户组，我们建议将该通讯组专用于此目的，并配置合适的设置来批准、审核和监视成员身份更改。

注意：
如果在 AD RMS 群集上已经配置超级用户组，则对通讯组成员身份的任何修改可能需要 AD RMS 群集花费 24 小时才能刷新。这是在群集上缓存组成员身份的结果。

若要了解与 IRM 相关的其他管理任务，请查看管理权限保护。

先决条件

AD RMS 群集部署在 Active Directory 林中。

使用命令行管理程序将联合邮箱添加到通讯组

您必须先获得权限，然后才能执行此过程。若要查看所需的权限，请参阅邮箱权限主题中的“通讯组”条目。

如果在 AD RMS 群集中创建了某个通讯组并将其配置为超级用户组，则可以将 Exchange 2010 联合邮箱添加为该组的成员。如果未配置超级用户组，则必须创建通讯组并将联合邮箱添加为成员。

1. 创建专门用作 AD RMS 超级用户组的通讯组。有关详细信息，请参阅创建通讯组。

2. 向新的通讯组添加用户 FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042。联合邮箱是系统邮箱，因此在 EMC 中不可见。若要将其添加到通讯组，必须从命令行管理程序使用 Add-DistributionGroupMember cmdlet。

   此示例将联合邮箱添加到 ADRMSSuperUsers 通讯组。

   Add-DistributionGroupMember ADRMSSuperUsers -Member FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042
   

有关语法和参数的详细信息，请参阅 Add-DistributionGroupMember。

使用 AD RMS 设置超级用户组

在 AD RMS 群集上执行以下过程。用于执行此过程的帐户必须是 AD RMS 服务器上 AD RMS 企业管理员本地组的成员。

1. 打开 Active Directory 权限管理服务控制台，并展开 AD RMS 群集。

2. 在控制台树中，展开“安全策略”，然后单击“超级用户”。

3. 在操作窗格中，单击“启用超级用户”。

4. 在结果窗格中，单击“更改超级用户组”以打开“超级用户”属性表。

5. 在“超级用户组”框中，键入在上一过程中创建的通讯组的电子邮件地址，或单击“浏览”以选择通讯组。

其他任务

在将联合邮箱添加到 AD RMS 超级用户组之后，您可能还需要：

• 在 Outlook Web App 中启用或禁用信息权限管理

• 启用或禁用传输解密

• 启用或禁用日记报告解密

 © 2010 Microsoft Corporation。保留所有权利。