суббота, 17 апреля 2010 г.

Exchange Control Panel – средство управления для пользователя и администратора

Наверняка каждый администратор мечтал облегчить свой труд, переложив часть задач на конечных пользователе. С приходом Exchange 2010 эта мечта становится ближе. В Exchange 2010 появилась новая консоль управления сервером – Exchange Control Panel (ECP). ECP является самостоятельным веб-сервисом и доступна либо из Outlook Web App, либо по адресу https://yourCAS/ecp. Данная консоль предназначена как для администраторов Exchange, так и для конечных пользователей, причем уровень доступа пользователей к серверу Exchange по средствам ECP легко настраивается при помощи новой системы управления ролями - Role Based Authentication Control (RBAC).

Когда вы подключаетесь к сайту Outlook Web App, то в правом верхнем углу можете видеть кнопку Options, нажав которую вы и попадете в Exchange Control Panel.

Что дает ECP пользователям?

Одной из интересных возможностей, с точки зрения пользователей, является доступ к некоторым атрибутам их собственной учетной записи в Active Directory.
Рис.1: Изменение пользователем своих атрибутов в AD.
Сотрудник самостоятельно может заполнить свои контактные данные, такие как адрес, телефон и т.п.. Естественно, что основные параметры учетки он менять не может и соответствующие поля помечены серым цветом.
Также, сильно упрощает жизнь администраторам возможность пользователей управлять своим членством в группах рассылки и просматривать параметры имеющихся групп рассылки. Для того, что присоединиться к одной из групп, пользователь должен просто перейти в раздел группы (Groups), нажать кнопку Присоединиться (Join) и выбрать нужную группу. Точно также он может покинуть ту или иную группу, нажав кнопку Покинуть (Leave).

Рис.2: Самостоятельное присоединение пользователя к группе.
Естественно, возможность присоединяться или выходить из групп должна быть разрешена на уровне самой группы распространения. Делается это в её свойствах, как показано на рисунке 3.

Рис.3: Настройки группы распространения.
Изучем ECP дальше и видим следующее – пользователь сам может настроить автоответ для своего почтового ящика на случай отсутсвия на рабочем месте, по причине отпуска, командировки, либо болезни. Это очень удобная функция для сотрудников, работающих с клиентами, например для менеджеров.

Рис.4: Настройка автоответа.
Более того, ECP позволяет сократить количество звонков администратору с вопросами типа: «А куда делось мое письмо?». Каждый сам может зайти в ECP, открыть раздел Organize E-Mail -> Delivery Reports и посмотреть что стало с письмом.
Примечание: Функционал Delivery Reports стал приемником Message Tracking Tool из Exchange 2007.

Рис.5: Просмотр состояния переписки.
Ну и конечно, через ECP можно получить доступ к некоторым стандартным функциям почтового ящика, таким как:
  • Настройка подписи
  • Настройка проверки правописания
  • Параметры календаря
  • Региональные настройки
  • Смена пароля
  • И даже шифрование.

Рис.6: Дополнительные настройки.

С точки зрения администратора

Администраторы сервера Exchange через Exchange Control Panel могут управлять не только своей учетной записью, но также параметрами организации и даже настройками учетной записи другого сотрудника.

Рис.7: Exchange Control Panel – вид администратора сервера Exchange 2010.
В плане управления организацией, администратору доступны настройки, изображенные на рисунке 8. Exchange Control Panel дублирует в графическом виде некоторый функционал, доступный только из командной строки консоли управления Exchange 2010 (например, настройку Mail Tips для групп нельзя произвести из графической консоли управления Exchange, а в ECP - можно).

Рис.8: Настройки организации.
По сравнению с пользователем, администратору доступен расширенный функционал Delivery Reports в разделе Reporting.
В меню  Users & Groups особое внимание стоит обратить на вкладку Administrator Roles, которая предоставляет доступ к системе управления ролями - Role Based Authentication Control (RBAC). Если говорить точнее, то из этой консоли мы можем управлять членством в Role Groups.

Рис.9: Доступ к системе управления ролями.
До выхода Exchange 2010 наделение пользователей дополнительными возможностями осуществлялось при помощи функционала делегирования управления. В Exchange 2010 появилась модель RBAC. Принципиальное отличие в данном случае состоит в том, что разрешения ассоциируются не с объектами AD, такими как серверы и почтовые ящики, а с задачами.
Role Based Access Control (RBAC) — это новая модель разрешений в Microsoft Exchange Server 2010. При использовании RBAC отпадает необходимость в изменении и поддержании списков управления доступом (ACL), использовавшихся в Exchange Server 2007.
RBAC позволяет контролировать действия администраторов и пользователей на самых разных уровнях. RBAC также позволяет детальнее распределять пользователей и администраторов по ролям, которые они выполняют в рамках организации. В Exchange 2007 модель разрешений сервера относилась только к администраторам, управлявшим инфраструктурой Exchange 2007. В Exchange 2010 RBAC позволяет контролировать выполнение административных задач и предоставлять полномочия пользователям для администрирования своих почтовых ящиков и групп рассылки.
Существует следующий набор Role Groups:
  • Delegated Setup
  • Recipient Management
  • Discovery Management
  • Records Management
  • Help Desk
  • Server Management
  • Hygiene Management
  • UM Management
  • Organization Management
  • View-Only Organization Management
  • Public Folder Management
Чтобы дать пользователю дополнительные права, вам нужно просто добавить его в соответствующую группу при помощи команды
Add-RoleGroupMember “Recipient Management” -Member user1
либо из ECP -> Users & Groups -> Administrator Roles.

Настройка свойств ECP Virtual Directory

Параметры Exchange Control Panel хранятся на уровне сервера Exchange в серверах клиентского доступа Server Configuration -> Client Access -> Exchange Control Panel. Настроек у ECP совсем не много, единственное, что мы можем сделать, это настроить Внутренний URL-адрес и указать метод Проверки подлинности. 

Рис.10: Настройка ECP Virtual Directory.
По умолчанию выставлена проверка подлинности на базе веб-формы Outlook Web App.

Заключение

Exchange Control Panel, базирующаяся на платформе OWA, предоставляет функционал, необходимый администратору в его каждодневной работе, а так же позволяет пользователям более гибко управлять своим почтовым ящиком и реже звонить в ИТ-отдел.

5 комментариев:

Александр комментирует...

А реально сделать, чтобы через outlook пользователи могли добавлять себя или удалять из группы? В exchange 2010 в свойствах группы поставил соотв. настройки. В ад на объект дал разрешение для прошедших проверкиу "добавлять и удалять себя как член группы". В RBAC поставил галку MyDistributionGroupMembership для политики пользователей. Все равно не хочет. Через ecp работает, через outlook ругается на недостаточные права.
Exchange 2010 cas array + dag.

Алексей Богомолов (Alexx) комментирует...

Вообще, должно работать через Outlook. Сложно сказать в чем именно у Вас проблема. Если пересоздать профиль пользователя в Outlook, ситуация такая же?

Александр комментирует...

Не помогает, только если пользователя сделать владельцем в свойствах группы в exchange и администраторы домена могут. Все начинает работать если в реестр на клиенте добавить параметр closest gc (1). Но у меня односайтовая структура. И в статье на ms (http://support.microsoft.com/kb/319206) написано, что с 2010 exch так делать не стоит. Правда так и не понял почему.

Александр комментирует...

Добавлю ещё. Группа в ad является универсальной группой распространения. Пробовал переключать в разные режимы. Не помогает

Unknown комментирует...

При выставлении автоответа с помощью PS все работает, при попытке выставить автоответ через owa выходит страница логина пароля и не берутся пароли никого, ни пользовательские, ни администратора домена. В каком месте надо прописать пользователя? Я так понимаю ECP не пускает

Отправить комментарий