使用 EAC 管理多林 Exchange 部署

  • Article

原文发布于 2012 年 8 月 31 日(星期五)

接着上一篇介绍新的 Exchange 管理中心 (EAC) 的文章,我们将继续讨论新的 EAC 如何实现轻松管理多林 Exchange 部署。

在跨林拓扑中部署 Exchange 2010 中所述,Exchange Server 2010 可以在跨林或资源林拓扑中部署。在本文中,我们将采用相同的方法对新版 Exchange 部署资源林拓扑。

首先,让我们如下所示设置资源林环境,设置单向林信任,这样林 B 信任林 A。

图像
图 1:资源林 Exchange 拓扑的布局

林 A 是帐户林,所有的用户帐户都在其中进行配置。林 A 未安装任何 Exchange 服务器。林 B 是资源林 – 安装有 Exchange Server 2013 并具有每个林 A 用户帐户链接的邮箱。林 B 未配置任何用户帐户。

在实验室环境中,我们在林 A 中设置了一个名为 John Doe 的用户。我们现在希望 John Doe 成为 Exchange 管理员。为此,我们需要确保他在 Exchange 资源林中准备好正确的基于角色的访问控制 (RBAC) 权限。由于我们在这里处理的是多林环境,因此有两种方法配置 RBAC,而我们将尝试这两种方法:

  1. 使用链接的邮箱
  2. 使用链接的角色组

您可能已在帐户林中设置了多名用户。将这些用户配置为链接的邮箱可确立它们在 Exchange 资源林中的地位。通过将这些链接的邮箱添加到现有的 RBAC 角色组,关联的用户因此实际上成为 Exchange 管理员。

使用链接的邮箱

在下面的图中,John Doe 的用户帐户设置在帐户林中。使用 EAC,Exchange 管理员随后便可为他创建链接的邮箱,如下所示。

图像
图 2:John Doe 已设置为链接的邮箱。

随后可将 John 的邮箱添加到任何内置的 RBAC 管理角色组,从而让他成为 Exchange 管理员。在下面的屏幕截图中,John 成为了内置 Organization Management 角色组的成员。

图像
图 3:John Doe 被添加为 Organization Management 角色组的成员。

现在,让我们尝试以 John 的身份登录 EAC。John 现在应该具有 Exchange 管理权限,从下面可以看出这一点。

图像
图 4:以 John Doe 的身份登录 EAC,配置为链接的邮箱,然后成为 Organization Management 角色组的成员。

使用链接的角色组

链接的角色组实际上就是角色组,但是跨林边界通过通用安全组 (USG) 链接。因此这个 USG 的成员实际成为了链接角色组的成员。这意味着如果 John Doe 是这样一个 USG 的成员,那么他会通过链接的角色组自动获得 Exchange 资源林中的所有 RBAC 权限。链接的角色组因此可以让一个帐户林中的少量 USG 管理多个复杂的 Exchange 林拓扑。

为了演示上面的过程,我们将执行下面的操作:

  1. 在帐户林中,使用 Active Directory 用户和计算机 (ADUC) 管理工具,我们将创建名为 AdminSG 的 USG。AdminSG 代表一组 Exchange 管理员。我们随后让 John Doe 成为 AdminSG 的成员
  2. 在资源林中,我们将使用以下 Exchange 命令行管理程序调用,基于内置的角色组“Organization Management”设置映射到 AdminSG 中的单个链接的角色组:

$accountForestCredential = Get-Credential

$OrgMgmt = Get-RoleGroup "Organization Management"

New-RoleGroup "Organization Management - Linked" -LinkedForeignGroup "AdminSG" -LinkedDomainController bjex062.extest.microsoft.com -LinkedCredential $accountForestCredential -Roles $OrgMgmt.Roles

Get-ManagementRoleAssignment -RoleAssignee "Organization Management - Linked" -Role My* | Remove-ManagementRoleAssignment

Get-ManagementRole | New-ManagementRoleAssignment -SecurityGroup "Organization Management - Linked" -Delegating

通过上面的步骤,John Doe 现在具有了 Exchange 资源林中所有的 RBAC 权限,即使他的用户帐户位于帐户林中。

我们现在将尝试以 John Doe 的身份登录 EAC。我们从 任意 桌面启动 EAC,将其指向资源林中的 CAS 服务器,然后登录。John 具有 Organization Management RBAC 角色组中定义的标准 RBAC 权限,能够在资源林中相应地管理 Exchange。

图像
图 5:以 John Doe 的身份登录到 EAC,通过链接的 Organization Management 角色组。

尝试 EAC!

如您所见,EAC 使得管理多林 Exchange 部署非常容易。无需远程设置专用的管理计算机管理特定的 Exchange 林,也不需要在每个 Exchange 资源林中创建特殊的管理帐户。您使用现有的用户凭据直接从自己桌面通过 EAC 便可实现这一切!

EAC 可以通过最新的 Exchange 2013 Preview 下载文件以及 Office 365 Customer Preview 产品获得。我们在未来几周将继续撰写更多有关 EAC 的内容。同时,请务必试用新 EAC,并向我们提供您的反馈!

Exchange 可管理性团队

这是一篇本地化的博客文章。请访问 Using EAC to manage multi-forest Exchange deployments 以查看原文