Articolo originale pubblicato venerdì 31 agosto 2012

Dopo il nostro ultimo articolo, in cui abbiamo presentato la nuova Interfaccia di amministrazione di Exchange, proseguiamo per spiegare come tale interfaccia EAC agevoli la gestione delle distribuzioni di Exchange con più foreste.

Come illustrato in Distribuzione di Exchange 2010 in una topologia con più foreste, Exchange Server 2010 può essere distribuito in una topologia con più foreste o con foresta delle risorse. Per gli scopi di questo articolo, utilizzeremo lo stesso approccio per distribuire una topologia con foresta delle risorse con il nuovo Exchange.

Impostiamo innanzitutto un ambiente con foresta delle risorse come illustrato di seguito, ovvero con un trust unidirezionale tra le foreste in modo che la foresta B consideri attendibile la foresta A.

immagine
Figura 1: layout di una topologia di Exchange con foresta delle risorse.

La foresta A è la foresta degli account, in cui è stato effettuato il provisioning di tutti gli account utente. Nella foresta A non è installato alcun server Exchange. La foresta B è la foresta delle risorse, con installato Exchange Server 2013 e con le cassette postali collegate per ogni account utente della foresta A. Nella foresta B non è stato effettuato il provisioning di alcun account utente.

In un ambiente lab vi è un utente, John Doe, impostato nella foresta A. Desideriamo ora che John Doe diventi un amministratore di Exchange. A tale scopo, dobbiamo assicurarci che disponga dei privilegi di controllo di accesso basato sui ruoli (RBAC) appropriati nella foresta delle risorse di Exchange. Dal momento che si tratta di un ambiente con più foreste, vi sono due modi per configurare il controllo di accesso basato sui ruoli e noi proveremo entrambi:

  1. Utilizzo di cassette postali collegate
  2. Utilizzo di gruppi di ruoli collegati

È possibile che vi siano già utenti impostati in una foresta degli account. Configurando tali utenti come cassette postali collegate, se ne definisce la presenza nella foresta delle risorse di Exchange. Aggiungendo queste cassette postali collegate a gruppi di ruoli RBAC esistenti, gli utenti associati diventano effettivamente amministratori di Exchange.

Utilizzo di cassette postali collegate

Nella figura sotto riportata l'account utente di John Doe è impostato nella foresta degli account. Utilizzando l'Interfaccia di amministrazione di Exchange (Exchange admin center), un amministratore di Exchange può quindi creare per sé una cassetta postale collegata, come mostrato di seguito.

immagine
Figura 2: John Doe è stato impostato come cassetta postale collegata.

La cassetta postale di John può quindi essere aggiunta a qualsiasi gruppo di ruoli amministrativi RBAC predefinito, trasformando John in un amministratore di Exchange. Nella schermata seguente John è diventato membro del gruppo di ruoli predefinito Gestione organizzazione (Organization Management).

immagine
Figura 3: John Doe è stato aggiunto come membro del gruppo di ruoli Gestione organizzazione (Organization Management).

Proviamo ora a eseguire l'accesso all'Interfaccia di amministrazione di Exchange (Exchange admin center) come John. Quest'ultimo ormai dovrebbe disporre di privilegi amministrativi di Exchange, come mostrato di seguito.

immagine
Figura 4: esecuzione dell'accesso all'Interfaccia di amministrazione di Exchange (Exchange admin center) come John Doe, configurato come cassetta postale collegata e membro del gruppo di ruoli Gestione organizzazione (Organization Management).

Utilizzo di gruppi di ruoli collegati

I gruppi di ruoli collegati fondamentalmente sono gruppi di ruoli, ma collegati tramite un gruppo di sicurezza universale attraverso il confine della foresta. I membri di tale gruppo di sicurezza universale diventano pertanto membri dei gruppi di ruoli collegati. Questo significa che, se John Doe è membro del gruppo di sicurezza universale, ottiene automaticamente tutte le autorizzazioni RBAC in una foresta delle risorse di Exchange tramite i gruppi di ruoli collegati. Tali gruppi consentono quindi a un set limitato di gruppi di sicurezza universali in una foresta degli account di gestire più topologie di foreste di Exchange complesse.

A scopo dimostrativo di quanto sopra spiegato, eseguiremo le operazioni seguenti:

  1. Nella foresta degli account, utilizzando lo strumento di gestione Utenti e computer di Active Directory, creeremo un gruppo di sicurezza universale denominato AdminSG, che rappresenterà un gruppo di amministratori di Exchange. Faremo quindi diventare John Doe un membro di AdminSG.
  2. Nella foresta delle risorse imposteremo un singolo gruppo di ruoli collegato, basato sul gruppo di ruoli predefinito "Organization Management", mappato ad AdminSG, utilizzando le chiamate di Exchange Management Shell seguenti:

$accountForestCredential = Get-Credential

$OrgMgmt = Get-RoleGroup "Organization Management"

New-RoleGroup "Organization Management - Linked" -LinkedForeignGroup "AdminSG" -LinkedDomainController bjex062.extest.microsoft.com -LinkedCredential $accountForestCredential -Roles $OrgMgmt.Roles

Get-ManagementRoleAssignment -RoleAssignee "Organization Management - Linked" -Role My* | Remove-ManagementRoleAssignment

Get-ManagementRole | New-ManagementRoleAssignment -SecurityGroup "Organization Management - Linked" -Delegating

Grazie ai passaggi precedenti, John Doe ora dispone di tutti i privilegi RBAC nella foresta delle risorse di Exchange, anche se il relativo account utente si trova nella foresta degli account.

Tenteremo ora di eseguire l'accesso all'Interfaccia di amministrazione di Exchange (Exchange admin center) come John Doe. Avviamo tale interfaccia da qualsiasi desktop e facciamo in modo che punti a un server Accesso client (CAS) nella foresta delle risorse ed eccoci connessi. John dispone dei privilegi RBAC standard definiti nel gruppo di ruoli RBAC Gestione organizzazione (Organization Management) e di conseguenza può gestire Exchange nella foresta delle risorse.

immagine
Figura 5: esecuzione dell'accesso all'Interfaccia di amministrazione di Exchange (Exchange admin center) come John Doe, tramite il gruppo di ruoli collegato Gestione organizzazione (Organization Management).

Provate l'Interfaccia di amministrazione di Exchange!

Come potete vedere, l'Interfaccia di amministrazione di Exchange semplifica la gestione delle distribuzioni di Exchange con più foreste. Non è infatti necessario utilizzare computer di gestione dedicati remoti per gestire una foresta di Exchange specifica o creare account amministrativi speciali in ogni foresta delle risorse di Exchange. Tutte queste attività possono essere eseguite direttamente dal vostro desktop con l'Interfaccia di amministrazione di Exchange e le vostre credenziali utente esistenti!

L'Interfaccia di amministrazione di Exchange è disponibile nell'ultimo download di Exchange 2013 Preview e attraverso l'offerta per Office 365 Customer Preview. Nelle prossime settimane continueremo a scrivere ancora sul'Interfaccia di amministrazione di Exchange. Nel frattempo, provate questo nuovo strumento e inviateci i vostri commenti e suggerimenti!

Il team di gestibilità di Exchange

Questo è un post di blog localizzato. L'articolo originale è disponibile in Using EAC to manage multi-forest Exchange deployments.