Как управлять группами с помощью групп в Exchange 2010


Вы мигрировали с Exchange 2003 на Exchange 2010. Ваши пользователи сообщают, что они не могут изменять группы рассылки, как они делали это раньше. В статье Как управлять группами Exchange 2010, которыми вы владеете? мы продемонстрировали вам, что в Exchange 2010 пользователи имеют права создавать новые группы рассылки и удалять группы рассылки, которыми они владеют.

Это помогло некоторым из ваших пользователей, но некоторые из них все еще не могут изменять их группы рассылки. Вам нужно обратить на это внимание...

Проблема

Когда User1 пытается добавить нового члена в группу рассылки DistributionGroup1, он получает ошибку:

Changes to the distribution group list membership could not be saved. You do not have sufficient permissions to perform this operation on this object.
Изменения в списке членов группы рассылки не могут быть сохранены. Вы не имеете достаточных прав для выполнения этой операции над этим объектом.
 

Рисунок 1: Пользователь получает ошибку прав доступа, когда пытается модифицировать список членов группы рассылки в Microsoft Outlook.

Раньше пользователь User1 мог добавлять/удалять членов группы рассылки, используя Outlook, и не должен был просить помощи в группе технической поддержки. Что изменилось?

Вы знаете, что вы заранее настроили группу SecurityGroup1, чтобы было возможно управлять этой группой рассылки. Кто-то изменил список членов группы безопасности? Сначала вы запускаете Active Directory Users & Computers. Изменений нет: пользователь все еще входит в группу SecurityGroup1.

Рисунок 2: Пользователь все еще входит в группу безопасности, настроенной для управления группой рассылки.

Затем вы проверяете настройки группы рассылки в ADUC и убеждаетесь, что DistributionGroup1 все еще управляется группой SecurityGroup1.

Рисунок 3: Группа безопасности все еще управляет группой рассылки.

Прекрасно, но что еще могло повлиять? Вы знаете, что вы недавно мигрировали на Exchange 2010. И вы проверяете DistributionGroup1 в EMC (которая показывает, что группа рассылки находится под управлением SecurityGroup1, но также показывает ошибку 'Object Not Found').


 
Figure 4: EMC показывает группу безопасности с ошибкой 'Object not found'.

Почему так происходит?

Это поведение «by design». В Exchange 2010 группы рассылки не могут управляться группами: только индивидуальные пользователи могут управлять группами. Возможно, что в Exchange 2003 вы использовали группы для управления группами рассылки. Членство в группах обрабатывалось на другом уровне. Теперь из-за того, что почтовые ящики были перемещены на Exchange 2010, члены этих групп не могут изменять группы рассылки.

Существует ли решение?

Мы создали скрипт, чтобы обойти это ограничение. Загрузите Set-DistributionGroupOwners.ps1 из Script Center.

Этот скрипт позволит вам смоделировать группу, владеющую группой рассылки в Exchange 2010. Он может быть запущен в трех различных режимах в зависимости от указанных вами ключей.

1. Режим 1 – Установить владельца для конкретной группы рассылки. Изменения атрибута ManagedBy производится в этот момент. Это просто изменение настраиваемого атрибута, чтобы позднее иметь информацию необходимую, когда скрипт устанавливает атрибут ManagedBy.
2. Режим 2 – Изменить атрибут ManagedBy заданной группы рассылки так. чтобы члены или группы безопасности или группы рассылки могли управлять ей.
3. Режим 3 – Предназначен для запуска в виде запланированной задачи и обеспечивает индивидуальным членам группы владение группой Distribution Group, для которой они указаны как владельцы. Этот режим используется, если вы предпочитаете автоматизировать процесс и возможно запускать его каждую ночь, чтобы применять изменения списка членов группы безопасности и группы рассылки.

Как запускать этот скрипт?

1. Для запуска этого скрипта требуется Windows 2008 R2. Скрипт необходим для поддержки групп безопасности, владеющих группами рассылки. Он не должен запускаться на сервере Exchange сервере, но средства управления Exchange должны быть установлены.
2. Загрузите скрипт. Скрипт Set-DistributionGroupOwners.ps1 доступен в TechNet Script Center. Загрузите его и измените тип на .ps1. Я рекомендую Set-DistributionGroupOwners.ps1.
3. Решите, какой настраиваемый атрибут будет использоваться. Скрипт будет запоминать отличительное имя (Distinguished Name,DN) группы (указанной в атрибуте ManagedBy группы рассылки, которой вы хотите управлять) в настраиваемом атрибуте. По умолчанию это CustomAttribute5, но он может быть легко заменен на один из 15-ти настраиваемых атрибутов в схеме по умолчанию. Найдите в Set-DistributionGroupOwners.ps1 строку:

$dn_storage = "CustomAttribute5"

Замените CustomAttribute5 на настраиваемый атрибут по вашему выбору. Теперь вы готовы запустить скрипт.

Режим 1 – Установить владельца группы

В этом режиме запустите скрипт с параметрами -DistributionGroup и  –GroupOwner. Укажите группу рассылки (-DistributionGroup) и группу, которая будет использоваться для управления этой группой рассылки (-GroupOwner). Скрипт установит DN группы владельца из параметра –GroupOwner в настраиваемом атрибуте группы рассылки, которую вы указали в параметре –DistributionGroup.

Для того чтобы группа DistributionGroup1 управлялась группой SecurityGroup1, вы должны выполнить следующее:

Рисунок 5: Скрипт запоминает DN группы владельца в настраиваемом атрибуте.

Дамп группы показывает, что CustomAttribute5 содержит DN группы SecurityGroup1 и атрибут ManagedBy содержит только SecurityGroup1. Необходим режим 2 для того, чтобы члены SecurityGroup1 могли изменять DistributionGroup1.

Режим 2 – Изменить атрибут ManagedBy для одной группы

Ни режим 2, ни режим 3 не будут работать, пока вы не установите настраиваемый атрибут DN группы-владельца. Если вы уже выполнили скрипт в режиме 1, то режим 2 настроит атрибут  ManagedBy для единственной группы. Чтобы выполнить скрипт в режиме 2, просто укажите единственный параметр –DistrubitionGroup и группу, которую вы хотите настроить.

В нашем примере это группа DistributionGroup1. На этом шаге в атрибуте ManagedBy будут прописаны члены группы-владельца. Теперь они перечислены поименно.

Рисунок 6: Скрипт запоминает в атрибуте ManagedBy группы рассылки каждого члена группы-владельца.

Режим 3 – Выполнить скрипт как запланированное задание для применения изменений в списке членов группы-владельца

Когда вы запускаете скрипт без параметров, он выполняет поиск в AD всех групп, у которых настраиваемый атрибут содержит DN. Затем он обрабатывает их всех как в режиме 2.

Скрипт написан так, что выполняется в этом режиме или как одникратная операция, когда вы знаете, что необходимо внести изменения, или как запланированное задание, чтобы обеспечить постоянную синхронизацию. Ключевым моментов является то, что при заполнении атрибута ManagedBy скрипт перезаписывает существующее значение, помещая в него список текущих членов группы-владельца.

Примечание: скрипт в нынешней форме не будет обрабатывать вложенные группы. Он будет брать только членов группы, которая задана в настраиваемом атрибуте. В настоящее время добавлять поддержку вложенных групп в скрипт не планируется.

Особая благодарность нашему скриптовому гению Мэтту Берду, чей девиз по-прежнему: “Если это необходимо сделать более одного раза, то это должен делать скрипт!”

Тэмми Энтони

Перевод: Илья Сазонов, MVP

Comments (0)

Skip to main content