Добавление федеративного почтового ящика в группу суперпользователей службы управления правами Active Directory

 

Применимо к:Exchange Server 2013

Последнее изменение раздела:2016-12-09

Чтобы включить следующие функции управления правами на доступ к данным (IRM) в системе Microsoft Exchange Server 2013, вам нужно добавить федеративный почтовый ящик (системный почтовый ящик, созданный программой установки Exchange 2013) в группу суперпользователей в кластере организации для служб управления правами Active Directory (AD RMS).

  • IRM в Microsoft Office Outlook Web App

  • IRM в Exchange ActiveSync

  • Расшифровка отчета журнала

  • Расшифровка транспорта

Можно настроить группу рассылки с включенной поддержкой почты в качестве группы суперпользователей в службе управления правами Active Directory. Участникам группы рассылки предоставляется лицензия на частное использование при запросе лицензии из кластера AD RMS. Это позволит им расшифровать все содержимое, защищенное службами управления правами и опубликованное этим кластером. При использовании существующей группы рассылки или создании новой группы рассылки и ее настройке в качестве группы суперпользователей в службе управления правами Active Directory рекомендуется выделить эту группу рассылки и настроить соответствующие параметры для утверждения, аудита и отслеживания изменений состава участников.

Внимание!Внимание!
Настройка группы суперпользователей в службе управления правами Active Directory позволяет участникам группы расшифровывать содержимое, защищенное с помощью IRM. Мы рекомендуем вам принять надлежащие меры для контроля и мониторинга членства в группе и включить аудит для отслеживания изменений в составе участников. Вы также можете ограничить нежелательные изменения в составе участников, настроив группу как группу с ограниченным доступом с помощью групповой политики. Дополнительные сведения см. в статье Параметры политики групп с ограниченным доступом.

Дополнительные сведения об управленческих задачах, связанных с IRM, см. в разделе Сведения о процедуры управления правами.

  • Осталось времени до завершения: 15 минут.

  • Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в статье Запись "Группы рассылки" в разделе Разрешения получателей.

  • Кластер службы управления правами Active Directory можно развернуть в лесу Active Directory.

  • Если на кластере AD RMS уже настроена группа суперпользователей, любые изменения состава группы рассылки могут занимать 24 часа до их обновления на кластере AD RMS. Это является результатом кэширования состава группы на кластере.

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.

СоветСовет.
Возникли проблемы? Обратитесь за помощью к участникам форумов, посвященных Exchange. Посетите форумы по таким продуктам: Exchange Server, Exchange Online или Exchange Online Protection.

Если группа рассылки была создана и настроена как группа суперпользователей в кластере AD RMS, федеративный почтовый ящик Exchange 2013 можно добавить в качестве члена этой группы. Если группа суперпользователей не настроена, то необходимо создать группу рассылки и добавить федеративный почтовый ящик в качестве ее члена.

  1. Создайте группу рассылки, выделенную для использования в качестве группы суперпользователей службы управления правами Active Directory (AD RMS). Дополнительные сведения см. в разделе Создание групп рассылки и управление ими.

  2. Добавьте пользователя FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042 в новую группу рассылки. Федеративный почтовый ящик является системным и поэтому не виден в Центре администрирования Exchange. Чтобы добавить его в группу рассылки, необходимо выполнить Add-DistributionGroupMember в командной консоли Exchange.

    В этом примере в группу рассылки ADRMSSuperUsers добавляется федеративный почтовый ящик.

    Add-DistributionGroupMember ADRMSSuperUsers -Member FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042
    

Дополнительные сведения о синтаксисе и параметрах см. в разделе Add-DistributionGroupMember.

Выполните следующую процедуру на кластере AD RMS. Учетная запись, используемая для выполнения этой процедуры, должна быть участником локальной группы администраторов предприятия AD RMS на сервере AD RMS.

  1. Откройте консоль службы управления правами Active Directory и разверните кластер AD RMS.

  2. В дереве консоли разверните Политики безопасности, затем выберите Суперпользователи.

  3. В области действий нажмите кнопку Включить суперпользователей.

  4. В области результатов выберите пункт Изменить группу суперпользователей, чтобы открыть страницу свойств суперпользователей.

  5. В поле Группа суперпользователей введите адрес электронной почты группы рассылки, созданной с помощью предыдущей процедуры, или нажмите кнопку Обзор, чтобы выбрать группу рассылки.

Добавив федеративный почтовый ящик в новую или существующую группу рассылки, используйте командлет Get-DistributionGroupMember, чтобы проверить членство в группе.

Пример проверки членства в группе рассылки см. в подразделе Examples раздела справки по командлету Get-DistributionGroupMember.

После настройки группы суперпользователей с помощью службы управления правами Active Directory вы можете использовать следующие способы для проверки того, правильно ли настроена группа суперпользователей. Кроме того, вы можете использовать командлет Test-IRMConfiguration для проверки функциональности IRM.

  • Чтобы проверить, была ли соответствующая группа настроена в качестве группы суперпользователей, воспользуйтесь консолью службы управления правами Active Directory.

  • Чтобы извлечь группу суперпользователей, выполните следующую команду PowerShell на сервере службы управления правами Active Directory.

    ВажноВажно!
    Модуль PowerShell ADRMSAdmin доступен в Windows Server 2008 R2 и более поздних версий.
    Import-Module ADRMSAdmin
    New-PSDrive -Name MyRmsAdmin -PsProvider AdRmsAdmin -Root https://localhost 
    Get-ItemProperty -Path MyRmsAdmin:\SecurityPolicy\SuperUser
    
    
 
Показ: