如何保護收件者範本的安全

Exchange 2007
 

適用版本: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上次修改主題的時間: 2007-03-26

在 Microsoft Exchange Server 2007 中,您可以使用現有的收件者作為範本。這可讓您用一致的方式提供收件者,而不需要明確指定所有組態設定。如果您可以使用現有的收件者作為範本來建立新的收件者,則也可以維護此用途專用的特定收件者。只作為範本以提供新收件者的收件者稱為「收件者範本」。

收件者範本與真實的人員、資源或群組無關。因此,您應該保護收件者範本的安全,將一般帳戶的相關風險降至最低。這對於信箱及郵件使用者範本而言特別重要,因為它們都具有 Active Directory 目錄服務登入認證,因此,如果沒有適當地保護它們的安全,它們就可能以您意想不到的方式,被用來存取組織中的資源。

本主題說明如何使用「Active Directory 使用者和電腦」及 Exchange 管理主控台或 Exchange 管理命令介面來保護收件者範本的安全。

若要執行這個程序,您使用的帳戶必須已委派下列資格:

  • Exchange 收件者系統管理員角色
  • 適當 Active Directory 容器的帳戶操作員角色

如需管理 Exchange 2007 所需之權限、委派角色以及權利的相關資訊,請參閱權限考量

為了保護收件者範本而執行的程序對於所有收件者都相同。然而,您必須針對具有 Active Directory 登入認證的收件者 (例如信箱及郵件使用者) 執行額外的工作。本主題分成下列數個小節:

  • 保護信箱及郵件使用者範本的安全
  • 保護通訊群組、動態通訊群組及郵件連絡人範本的安全

信箱及郵件使用者範本都具有 Active Directory 登入認證,而且可以存取其有權存取的資源。因此,您必須確定信箱或郵件使用者範本的相關使用者帳戶絕不會被用來存取資源。

note附註:
雖然本節中的程序會顯示如何保護信箱範本的安全,但是對於郵件使用者範本也是相同的程序。

若要保護信箱及郵件使用者範本的安全,您應該至少執行下列步驟。

  1. 啟動 [Active Directory 使用者和電腦]。

  2. 在主控台樹狀目錄中,選取包含信箱範本之使用者帳戶的組織單位 (OU)。

  3. 在詳細資料窗格中,於與信箱範本相關的使用者帳戶上按一下滑鼠右鍵,然後按一下 [停用帳戶]。此步驟可防止帳戶被用來登入 Active Directory。

  4. 在您剛停用的使用者帳戶上按一下滑鼠右鍵,然後按一下 [內容]。

  5. 在 [<信箱> 內容] 中,按一下 [成員隸屬] 索引標籤上的 [新增] 以開啟 [選取群組] 對話方塊。

  6. 在 [輸入物件名稱來選取] 方塊中,輸入 Template Accounts,然後按一下 [檢查名稱]。

  7. 按一下 [確定] 關閉 [選取群組] 對話方塊。

  8. 在 [成員隸屬] 下按一下 Template Accounts 群組,然後按一下 [設定主要群組]。

  9. 選取 [網域使用者],然後按一下 [移除]。此步驟確保即使意外啟用帳戶,該帳戶也無法被用來存取網路資源。

    important重要事項:
    如果範本使用者只是 Domain Users 安全性群組的成員,則您將無法移除其成員資格,因為它是該使用者的主要安全性群組。在 Active Directory 中,每個使用者都至少必須是一個安全性群組的成員。因此,您應該針對所有要作為範本的使用者帳戶,建立專用的安全性群組作為主要安全性群組。此安全性群組不得用於指派權限。如需如何保護群組安全的詳細步驟,請參閱保護 Active Directory 系統管理群組及帳戶的安全 (英文)。此程序假設您已基於此用途建立名為 Template Accounts 的安全性群組。
  10. 按一下 [確定]。

同時也建議採取下列其他步驟,以保護信箱或郵件使用者範本的安全。然而,因執行這些步驟而變更的組態設定會複製至使用此範本提供的任何新收件者。因此,如果執行下列程序,請務必記得要針對使用此範本提供的任何新收件者重設這些設定。

  1. 啟動 Exchange 管理主控台。

  2. 在主控台樹狀目錄中,按一下 [收件者組態]。

  3. 在結果窗格的信箱範本上按一下滑鼠右鍵,然後按一下 [內容]。

  4. 在 [<信箱範本> 內容] 的 [一般] 索引標籤上,選取 [自 Exchange 通訊清單隱藏]。這將防止信箱或郵件使用者範本出現在全域通訊清單 (GAL) 或其他 Exchange 位址清單中。

  5. 在 [<信箱範本> 內容] 的 [郵件流程設定] 索引標籤上,選取 [郵件大小限制],然後按一下 [內容]。

  6. 在 [郵件大小限制] 對話方塊中,選取 [接收的郵件大小] 的 [郵件大小上限 (KB)] 核取方塊。在文字方塊中輸入 0。因為收件者範本不會受到監視,所以此步驟可確保信箱範本不會接收到電子郵件。

  7. 按一下 [確定]。

  8. 按一下 [確定]。

  • 若要採取其他步驟以保護信箱範本 Template Mailbox 的安全,請執行下列命令:(若為郵件使用者,請使用 Set-MailUser 指令程式並搭配相同參數。)

    Set-Mailbox -Identity "Template Mailbox" -HiddenFromAddressListsEnabled $true -MaxReceiveSize 0KB
    

若要針對使用安全收件者範本提供的新信箱或郵件使用者重設這些其他設定,您可以重複上述程序並將變更復原。然而,Exchange 管理命令介面的管線功能可讓您只使用一行程式碼,即可提供新的收件者並重設這些設定。以下是針對信箱完成此動作的範例。對於郵件使用者也是相同的程序,但是您必須改用 Get-MailUserNew-MailUserSet-MailUser 指令程式。

  • 若要使用信箱範本 Template Mailbox 來建立 John Smith 的信箱,請執行下列命令:(New-Mailbox 指令程式的結果會透過管線輸出至 Set-Mailbox 指令程式,以重設其他為了保護信箱範本安全而採取的組態設定。)

    $Temp = Get-Mailbox "Template Mailbox"
    New-Mailbox -Name "John Smith" -UserPrincipalName "jsmith@contoso.com" -OrganizationalUnit "contoso.com/Users" -Database "Server01\Mailbox Database" -TemplateInstance $Temp | Set-Mailbox -HiddenFromAddressListsEnabled $false -MaxReceiveSize unlimited
    
  • 出現提示時,請輸入新信箱的密碼。

如需詳細的語法及參數資訊,請參閱下列參考主題:

以下是為了保護通訊群組、動態通訊群組及郵件連絡人範本安全而建議的程序。然而,因執行這些步驟而變更的組態設定會複製至使用此範本提供的任何新收件者。因此,如果執行下列程序,請務必記得要針對使用此範本提供的任何新收件者重設這些設定。

important重要事項:
千萬不要使用萬用安全性群組作為通訊群組範本。萬用安全性群組可以用來將存取權限授與 Active Directory 中的資源。因為您必須針對任何新的通訊群組指定通訊群組類型,所以使用在 Active Directory 中具有安全性主體的群組作為通訊群組範本是不必要的安全性風險。
note附註:
雖然本節中的程序會顯示如何保護郵件連絡人範本的安全,但是對於郵件連絡人或動態通訊群組範本也是相同的程序。

  1. 啟動 Exchange 管理主控台。

  2. 在主控台樹狀目錄中,按一下 [收件者組態]。

  3. 在結果窗格的郵件連絡人範本上按一下滑鼠右鍵,然後按一下 [內容]。

  4. 在 [<郵件連絡人範本> 內容] 的 [一般] 索引標籤上,選取 [自 Exchange 通訊清單隱藏]。這將防止郵件連絡人範本出現在全域通訊清單 (GAL) 或其他 Exchange 位址清單中。

  5. 在 [<郵件連絡人範本> 內容] 的 [郵件流程設定] 索引標籤上,選取 [郵件大小限制],然後按一下 [內容]。

  6. 在 [郵件大小限制] 對話方塊中,選取 [接收的郵件大小] 的 [郵件大小上限 (KB)] 核取方塊。在文字方塊中輸入 0。因為收件者範本不會受到監視,所以此步驟可確保郵件連絡人範本不會接收到電子郵件。

  7. 按一下 [確定]。

  8. 按一下 [確定]。

  • 若要採取其他步驟以保護郵件連絡人範本 Template Mail Contact 的安全,請執行下列命令:(若為通訊群組,請使用 Set-DistributionGroup 指令程式,若為動態通訊群組,請使用 Set-DynamicDistributionGroup 指令程式並搭配相同參數。)

    Set-MailContact -Identity "Template Mail Contact" -HiddenFromAddressListsEnabled $true -MaxReceiveSize 0KB
    

若要針對使用安全收件者範本提供的收件者重設這些其他設定,您可以重複上述程序並將變更復原。然而,Exchange 管理命令介面的管線功能可讓您只使用一行程式碼,即可提供新的收件者並重設這些設定。以下是針對郵件連絡人完成此動作的範例。對於通訊群組或動態通訊群組也是相同的程序,但是您必須針對通訊群組收件者類型改用 Get-DistributionGroupNew-DistributionGroupSet-DistributionGroup 指令程式,並針對動態通訊群組收件者類型改用 Get-DynamicDistributionGroupNew-DynamicDistributionGroupSet-DynamicDistributionGroup 指令程式。

  • 若要使用郵件連絡人範本 Template Mail Contact 來建立 John Smith 的郵件連絡人,請執行下列命令:(New-MailContact 指令程式的結果會透過管線輸出至 Set-MailContact 指令程式,以重設其他為了保護郵件連絡人範本安全而採取的組態設定。)

    $Temp = Get-MailContact "Template Mail Contact"
    New-MailContact -Name "John Smith" -UserPrincipalName "jsmith@contoso.com" -OrganizationalUnit "contoso.com/Users" -Database "Server01\Mailbox Database" -TemplateInstance $Temp | Set-MailContact -HiddenFromAddressListsEnabled $false -MaxReceiveSize unlimited
    

如需詳細的語法及參數資訊,請參閱下列參考主題:

如需如何使用收件者範本來建立收件者的詳細步驟,請參閱如何使用範本建立收件者

若要深入了解收件者,請參閱 了解收件者

如需 Exchange 管理命令介面中之管線功能的相關資訊,請參閱管線

如需 Exchange 2007 中之管理介面的相關資訊,請參閱管理介面

若要確保您目前閱讀的是最新資訊,並尋找其他的 Exchange Server 2007 說明文件,請造訪 Exchange Server 技術資源中心.
顯示: