Usando EAC para gerenciar implantações do Exchange com várias florestas

  • Article

Artigo original publicado na terça-feira, 31 de agosto de 2012

Dando sequência a nosso último artigo, que mostrava o novo Centro de Administração do Exchange (EAC), veremos como o novo EAC facilita muito o gerenciamento de implantações do Exchange com várias florestas.

Conforme descrito no tópico sobre implantação do Exchange 2010 em uma topologia entre florestas, o Exchange Server 2010 pode ser implantado em uma topologia entre florestas ou de floresta de recursos. Neste artigo, adotaremos a mesma abordagem para implantar uma topologia de floresta de recursos com o novo Exchange.

Primeiro, iremos configurar um ambiente de floresta de recursos, conforme mostrado a seguir, com uma configuração de confiança de floresta unidirecional, de modo que a Floresta B confie na Floresta A.

imagem
Figura 1: Layout de uma topologia do Exchange de floresta de recursos

A Floresta A é a floresta de contas, onde todas as contas de usuários são provisionadas. Ela não tem servidores do Exchange instalados. A Floresta B é a floresta de recursos. Ela possui o Exchange Server 2013 instalado e caixas de correio vinculadas para cada conta de usuário da Floresta A. A Floresta B não tem contas de usuários provisionadas.

Em um ambiente de laboratório, temos um usuário, John Doe, configurado na Floresta A. Agora, queremos que John Doe seja um administrador do Exchange. Para isso, precisamos garantir que ele tenha o Controle de Acesso Baseado em Função (RBAC) adequado na floresta de recursos do Exchange. Como estamos lidando com um ambiente com várias florestas, há dois modos de configurar o RBAC, e tentaremos ambos:

  1. Usando caixas de correio vinculadas
  2. Usando grupos de funções vinculados

É possível que você já tenha usuários configurados em uma floresta de contas. A configuração desses usuários como caixas de correio vinculadas estabelece a presença deles na floresta de recursos do Exchange. Adicionando essas caixas de correio vinculadas aos grupos de funções existentes do RBAC os usuários associados tornam-se efetivamente administradores do Exchange.

Usando caixas de correio vinculadas

Na figura a seguir, a conta de usuário de John Doe está configurada na floresta de contas. Usando o EAC, um administrador do Exchange pode criar uma caixa de correio vinculada para ele, conforme mostrado a seguir.

imagem
Figura 2: John Doe configurou uma caixa de correio vinculada.

A caixa de correio de John pode ser adicionada a qualquer um dos grupos de funções administrativas do RBAC incorporados, tornando-o um administrador do Exchange. Na captura de tela a seguir, John tornou-se membro do grupo de funções incorporado Gerenciamento da Organização.

imagem
Figura 3: John Doe foi adicionado como membro do grupo de funções Gerenciamento da Organização.

Agora, vamos tentar fazer login no EAC como o próprio John. Ele deverá ter privilégios administrativos do Exchange, e é isso que veremos a seguir.

imagem
Figura 4: fazendo login no EAC como John Doe, configurado como uma caixa de correio vinculada, e como membro do grupo de funções Gerenciamento da Organização.

Usando grupos de funções vinculados

Os grupos de funções vinculados são essencialmente grupos de funções, porém, vinculados por meio de um Grupo de Segurança Universal (USG) em um limite da floresta. Desse modo, os membros desse USG tornam-se efetivamente membros dos grupos de funções vinculados. Isso significa que se John Doe for um membro desse USG, ele automaticamente obterá todas as permissões do RBAC em uma floresta de recursos do Exchange por meio dos grupos de funções vinculados. Esses grupos, então, possibilitam que um pequeno conjunto de USGs em uma floresta da conta gerencie várias topologias complexas de florestas do Exchange.

Para demonstrar isso, faremos o seguinte:

  1. Na floresta de contas, usando a ferramenta de gerenciamento Usuários e Computadores do Active Directory (ADUC), criaremos um USG chamado AdminSG. Ele representará um grupo de administradores do Exchange. Em seguida, transformaremos John Doe em um membro de AdminSG.
  2. Na floresta de recursos, configuraremos um único grupo de funções vinculado, com base no grupo de funções incorporado "Gerenciamento da Organização", mapeado para AdminSG, usando as seguintes chamadas do Shell de Gerenciamento do Exchange:

$accountForestCredential = Get-Credential

$OrgMgmt = Get-RoleGroup "Gerenciamento da Organização"

New-RoleGroup "Gerenciamento da Organização - Vinculado" -LinkedForeignGroup "AdminSG" -LinkedDomainController bjex062.extest.microsoft.com -LinkedCredential $accountForestCredential -Roles $OrgMgmt.Roles

Get-ManagementRoleAssignment -RoleAssignee "Gerenciamento da Organização - Vinculado" -Role My* | Remove-ManagementRoleAssignment

Get-ManagementRole | New-ManagementRoleAssignment -SecurityGroup "Gerenciamento da Organização - Vinculado" -Delegating

Com as etapas acima, John Doe terá todos os privilégios do RBAC na floresta de recursos do Exchange, mesmo que sua conta de usuário esteja na floresta de contas.

Agora, tentaremos fazer login no EAC como John Doe. Iniciaremos o EAC em qualquer área de trabalho e o apontaremos para um servidor do CAS na floresta de recursos. Com isso, o login será feito. John possui privilégios padrão do RBAC, conforme definido no grupo de funções Gerenciamento da Organização do RBAC, e pode gerenciar o Exchange na floresta de recursos correspondente.

imagem
Figura 5: fazendo login no EAC como John Doe por meio do grupo de funções vinculado Gerenciamento da Organização.

Teste o EAC

Como você pode ver, o EAC simplifica o gerenciamento de implantações do Exchange com várias florestas. Você não precisa acessar máquinas de gerenciamento dedicadas para gerenciar uma floresta específica do Exchange, nem criar contas administrativas especiais em todas as florestas de recursos do Exchange. Você pode fazer tudo isso em seu próprio desktop com o EAC, usando as credenciais de usuário existentes.

O EAC está disponível nos bits de download mais recentes do Exchange 2013 Preview, bem como pela oferta do Office 365 Customer Preview. Continuaremos a escrever mais artigos sobre o EAC nas próximas semanas. Enquanto isso, teste o novo EAC e envie seus comentários!

Equipe de gerenciamento do Exchange

Este é um post localizado. O artigo original está em Using EAC to manage multi-forest Exchange deployments