понедельник, 1 ноября 2010 г.

Группы рассылки на сервере Exchange 2010

image

UPD: Важное дополнение, читать обязательно.

Группы рассылки на сервере Exchange это очень удобная и многофункциональная вещь. Ими пользуются, пожалуй, все администраторы почтовых серверов, но далеко не все умеют «правильно их готовить». В этой статье мы поговорим про принципы работы групп рассылки на сервере Microsoft Exchange 2010.

Основные сведения

Начнем с самого начала и кратко посмотрим на то, что же такое группы Active Directory вообще и группы рассылки на сервере Exchange в частности.

В Active Directory существует два типа групп:

  • Группы безопасности (Security);
  • Группы распространения (Distribution).

Отличие здесь лишь в том, что группы безопасности можно использовать для назначения разрешений на папки, файлы и т.п., а группы распространения – нет. Но через MS Outlook все же можно использовать группы распространения для установки прав на общие папки или папки почтовых ящиков. При этом группа рассылки автоматически преобразуется в универсальную группу безопасности службой банка данных Microsoft Exchange. Это происходит по умолчанию в сервере Exchange Server 2010 и Exchange Server 2007 и этот механизм можно отключить.

Что касается самого сервера Exchange, то тут также есть два вида групп:

  • Статическая группа рассылки (Distribution Group);
  • Динамическая группа рассылки (Dynamic Distribution Group).

Различие в том, что в первую пользователи добавляются вручную, а содержимое второй сервер обновляет сам при помощи ранее настроенных фильтров.

Создать группу рассылки на сервере Exchange 2010 совсем не трудно, для этого существуют два «специально обученных» мастера, первый из которых поможет вам создать новую группу, или наделить почтовыми функциями уже существующую универсальную группу в Active Directory, а второй поможет настроить фильтры для динамической группы рассылки (рис.1).

clip_image002

Рис.1: Создание групп рассылки из EMC.

Аналогичные действия можно осуществить при помощи командлетов:

· New-DistributionGroup – создание статической группы рассылки;

· Add-DistributionGroupMember – добавление пользователей в статическую группу рассылки;

· New-DynamicDistributionGroup – создание динамической группы рассылки.

После того как группы созданы, очень важно будет поддерживать их содержимое в актуальном состоянии. Для этого существует ряд механизмов.

«Самообслуживание» в статических группах рассылки

Неудобство статических групп заключается в том, что их состав достаточно быстро устаревает и его приходится редактировать вручную. Ранее это могли делать только администраторы почтового сервера либо пользователи, которым были делегированы соответствующие права. С недавнего времени эта ситуация изменилась и сотрудники организации могут сами изменять свое членство в статических группах рассылки. Делается это при помощи Exchange Control Panel (ECP), обычно доступной по адресу https://YourCASServer/ecp, либо из Outlook Web App – меню Options.

Но прежде чем сотрудник сможет полноценно управлять группой, либо просто добавлять или удалять самого себя, ему необходимо дать соответствующие разрешения. Параметры управления членством в динамической группе рассылки настраиваются в окне свойств группы. Во вкладке Membership Approval (рис.2) - определяются параметры, которые устанавливают порядок утверждения членства в группе:

clip_image003

Рис.2: Редактирование разрешений на управление членством в группе рассылки.

Наделить отдельных пользователей возможность управлять членством в группах рассылки можно добавив им роль RBAC – MyDistributionGroupMembership.

По умолчанию, владельцем группы становится пользователь её создавший. Отредактировать состав администраторов можно во вкладке Group Information – поле Management by: (рис.3)

clip_image004

Рис.3: Управление составом администраторов группы.

Аналогичное действие можно выполнить при помощи командлета:

Set-DistributionGroup -Identity “Distribution Group” -ManagedBy User

При этом владельцу группы совершенно не обязательно давать доступ к консолям управления сервером Exchange, ему достаточно использовать панель управления сервером (ECP), чтобы редактировать параметры делегированной ему группы (рис.4).

clip_image006

Рис.4: Управление параметрами группы через ECP.

Фильтрация состава получателей в динамической группе рассылки

Если со статическими группами все просто – кого добавили, тот там и есть, то с динамическими все несколько сложнее. Для фильтрации получателей в динамических группах рассылки используются специализированные наборы фильтров.

Если вы создаете динамическую группу через графическую консоль управления, то мастер вам сам предложит сконфигурировать те или иные фильтры, после чего покажет результирующий командлет, который будет выполнен по нажатию кнопки New.

Поговорим о фильтрах подробнее

В первом диалоговом окне мастера нужно указать имя будущей группы, её псевдоним и Organizational Unit, в которой будет сохранена группа, как объект Active Directory.

clip_image007

Рис.5: Первый шаг мастера по созданию динамической группы рассылки.

Нужно отметить, что здесь Organizational Unit не является обязательным параметром, т.к. он всего лишь указывает на место, куда будет сохранен объект а AD.

На втором шаге мастера мы переходим уже непосредственно к настройке самого фильтра группы.

clip_image008

Рис.6: Выбор типов получателей.

Здесь Organizational Unit тоже указывать не обязательно, но очень желательно, т.к. это самый первый фильтр, который будет использовать новая группа. Если OU не указана, то будет использована та OU, в которой расположена группа рассылки, т.е. OU по умолчанию, либо та, которая была указана на первом шаге мастера. Все последующие фильтры будут использовать только тот набор объектов, который найдут в этой Organizational Unit!

Далее необходимо указать типы получателей, которые могут быть членами новой группы. Если вы собираете группу из сотрудников организации, то не стоит оставлять галочку All recipient types, т.к. в этом случае в неё попадут нецелевые объекты, такие как другие группы рассылки, внешние контакты и ресурсные почтовые ящики, что не только окажет дополнительную нагрузку на сервер, но и может послужить причиной отправки конфиденциальных данных за пределы организации.

В дальнейшем, отредактировать указанные на этом шаге мастера свойства можно через окно свойств группы рассылки - вкладка Filter, либо при помощи параметров –RecipientContainer и –IncludedRecipients.

Следующий шаг мастера предлагает дополнительно отфильтровать получателей по свойствам их учетной записи.

clip_image009

Рис.7: Указание фильтров на основе атрибутов пользователя.

Здесь могут быть использованы такие стандартные параметры учетной записи, как Город, Отдел, Компания и плюсом к ним 15 настраиваемых атрибутов, которые мы вручную может присвоить объектам Active Directory и использовать в фильтре.

Настраиваемые атрибуты

Настраиваемые атрибуты устанавливаются для учетных записей следующим образом:

Set-Mailbox –Identity user -CustomAttribute1 "Test"

Либо через редактирование свойства ExtentionAttribute учетной записи пользователя в оснастке Active Directory Users and Computers (рис.8):

clip_image010

Рис.8: Редактирование настраиваемых атрибутов через свойства учетной записи в AD.

Указав значение настраиваемого атрибута 1 равным Test, мы можем использовать это слово в фильтре (рис.7).

На этом шаге возможности мастера по настройке фильтрации объектов заканчиваются, нам остается только посмотреть на результирующие данные и нажать кнопку New. После того, как создание группы будет завершено, вы увидите его результат и команду, которая была сгенерирована на основе предоставленной информации.

Дополнительные возможности фильтрации

Зачастую случается так, что для достижения желаемого результата описанных выше механизмов фильтрации не достаточно. В этом случае вам помогут настраиваемые фильтры, в которых вы сможете использовать другие атрибуты почтовых ящиков. Атрибутов у почтового ящика более чем достаточно и получить их список можно следующей командой:

Get-Mailbox User | FL

Далее желаемый атрибут необходимо добавить в фильтр динамической группы рассылки параметром -RecipientFilter . К сожалению, мы не можем просто добавить туда условие, необходимо полностью перезаписать значение фильтра. Для этого получаем значение текущего фильтра командой:

Get-DynamicDistributionGroup <YourGroupe> | fl RecipientFilter

Затем редактируем его и устанавливаем для группы рассылки измененное значение командой:

Set-DynamicDistributionGroup -Name <YourGroup> –RecipientFilter {<ваше значение>}

Подробнее про настраиваемы фильтры можно почитать в Библиотеке TechNet`a здесь и здесь.

Получаем список членов группы рассылки

После того, как вы создали группу, либо изменили примененный к ней фильтр, естественно, что вам нужно проверить содержимое и посмотреть, кто теперь является её членом.

Для статической группы рассылки это делается командой:

Get-DistributionGroupMember –identity <YourGroup>

Но список может быть достаточно большим, следовательно, гораздо удобнее будет выгрузить его в отдельный файл и открыть сторонней программой. Для этого можно воспользоваться следующей командой:

Get-DistributionGroupMember –identity <YourGroup> | ft name, primarysmtpaddress | Export-CSV c:\members.csv

Для получения списка членов динамической группы рассылки воспользуемся другой конструкцией:

$DynGroup = Get-DynamicDistributionGroup -Identity <YourGroup>

Get-Recipient -RecipientPreviewFilter $DynGroup.RecipientFilter

Здесь первая команда позволяет сохранить объект динамической группы рассылки в переменной $DynGroup. Вторая команда использует командлет Get-Recipient для отображения списка получателей, соответствующих критериям, определенным для динамической группы рассылки.

Список получателей динамической группы рассылки можно сгенерировать и через графическую консоль управления. Для этого необходимо открыть свойства нужной группы, перейти на вкладку Conditions (Условия) и нажать кнопку Preview (Просмотр) (рис.9).

clip_image011

Рис.9: Просмотр списка получателей динамической группы рассылки.

Модерация потока почты

Часто возникает задача контролировать поток сообщений, которые обрабатываются группой рассылки. Делается это на вкладке Mail Flow Settings в свойствах группы.

Здесь можно определить такие параметры как размер сообщений для группы и настроить адреса, с которых разрешено, либо запрещено получать почту.

Важно! По умолчанию для всех групп рассылки запрещено получение почты с внешних адресов! Убрать это ограничение можно в разделе Message Delivery Restrictions - Require that all senders are authenticated.

image

Рис.10: Ограничение на примем почты от внешних пользователей.

При этом для статических групп есть ещё очень интересная функция – Модерация сообщений (Message Moderation) (рис.10).

clip_image012

Рис.11: Настройка модерации сообщений.

Здесь мы можем указать модераторов, которые будут проверять почту перед её отправкой членам группы, а также указать пользователей, которые будут оправлять сообщения без модерации, и настроить параметры оповещений для отправителей.

Дополнительные свойства группы

Закончим описание свойств групп рассылки на вкладке Advanced (рис.11). Здесь настройки все достаточно понятны интуитивно. Думаю, что стоит остановиться только на параметре Set expansion server. Вам может понадобиться вручную указать сервер расширения лишь в том случае, если группа рассылки очень большая и разрешение почтовых адресов её членов оказывает значительную нагрузку на транспортные сервера. В этом случае можно указать конкретный транспортный сервер в организации, который и будет обрабатывать сообщения, отправленные на конкретную группу рассылки. Здесь необходимо не забыть о том, что в случае недоступности этого сервера, сообщения не будут доставлены членам группы.

clip_image013

Рис.12: Дополнительные параметры группы рассылки.

Отправка почты от имени группы рассылки

Редко, но все же возникает такая ситуация, когда необходимо написать письмо от имени группы рассылки. Для того, чтобы обеспечить пользователя правом отправлять сообщения от имени группы необходимо выполнить следующую команду:

Get-DistributionGroup -Identity <YourGroup> | Add-ADPermission -User <User> -ExtendedRights «Send As»

Заключение

В статье я постарался коротко описать те возможности, которые дают нам статические и динамические группы рассылки. Если у вас есть интересный опыт использования подобных механизмов, то всегда рад увидеть ваши отзывы в виде комментариев к данной статье.

51 комментарий:

Вячеслав Феденко комментирует...

Хорошая статья

Илья комментирует...

Добрый день!

Есть ли возможность просматривать членов дин. группы в Outlook как это возможно со статичной?

П.С.: Хорошая статья!

Алексей Богомолов (Alexx) комментирует...

Нет, такой возможности нет, т.к. динамическая группа "собирается" сервером уже после отправки сообщения.

Илья комментирует...

спасибо!

mpakoff.ru комментирует...

Всё доступно и понятно. Спасибо.

Павел комментирует...

А не подскажете, почему не доставляется почта во вложенные группы, с включенной авторизацией? (для вышестоящей группы авторизация понятное дело отключена.)

Алексей Богомолов (Alexx) комментирует...

Павел, а почему оно должно доставляться? Когда письмо приходит на группу, то Exchange определяет на какие именно адреса надо его переслать и делает это. Если группа вложенная, то письмо все равно идет сначала на её адрес, а не сразу на адреса её членов. Следоветельно, раз письмо пришло на адрес группы, пусть и вложенной в другую, то к нему в любом случае применяются все правила и органичения, наложенные на эту группу.

ilia комментирует...

Алексей, а можно ли в эксчендже при расслыке, чтобы в поле "кому" у получившего письмо , стоял только один (его) адрес. а не список группы рассылки?

Валерий комментирует...

Алексей! подскажите пожалуйста,стоит необходимость сохранения всей переписки с целью предотвращения удаления пользователями писем с важной информацией, как это можно реализовать?

Алексей Богомолов (Alexx) комментирует...

Посмотрите статью http://www.alexxhost.ru/2010/07/exchange-2010_06.html раздел "Юридическое удержание (Litigation Hold)", может быть это именно то, что вам нужно.

Олжас Сулейменов комментирует...

Алексей, подскажите пожалуйста, насчет ограничения на отправку почты на группы рассылки: вообщем сделал все настройки Message Delivery Restrictions указал группу кто может отправлять на группу рассылки, все ок. Есть такая проблемка, пользователь у кого нет доступа на отправку на группу рассылки выбирает группу после чего в Outlook есть возможность развертывание списка нажав на "+" как вы знаете, после этого соответственно отправляет на всех членов этой группы. Как можно решить данную проблему? Чтоб не развертывался список групп рассылки? Спасибо, жду ваших советов.

Алексей Богомолов (Alexx) комментирует...

К сожалению у меня нет ответа на этот вопрос ((

ashum комментирует...

Хочу включить права на отправку от имени универсальной почтовой группы безопасности. При выполнении командлета Get-DistributionGroup -Identity | Add-ADPermission -User -ExtendedRights «Send As»
появляется ошибка:
Операция Active Directory над dc.domain.ru не выполнена. Данная ошибка не допускает повторения попытки. Дополнител
ьные сведения: Отказано в доступе.
Отклик Active Directory: 00000005: SecErr: DSID-03151E07, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0
+ CategoryInfo : WriteError: (0:Int32) [Add-ADPermission], ADOperationException
+ FullyQualifiedErrorId : B99CF22C,Microsoft.Exchange.Management.RecipientTasks.AddADPermission

Выполняю от имени доменного администратора, перед этим делал миграцию с exchange 2003. Подскажите, пожалуйста, в чем дело?

Алексей Богомолов (Alexx) комментирует...

попробуйте сбросить разрешение для группы на дефолтные. Для этого открываете свойства группы - Безопасность - Дополнительно - Восстановить умолчания.

ashum комментирует...

Спасибо. После сброса разрешений в дефолтные, командлет выполнился. Но письмо от имени группы не отправляется. Подождал рекомендуемое время в два часа, и оказалось, что разрешения вернулись к первоначальному виду. Как отключить сброс прав?

Алексей Богомолов (Alexx) комментирует...

Разрешения скорее всего наследуются от OU выше. Проверьте этот момент.

ashum комментирует...

Нет, разрешения не унаследованы. И мое разрешение устанавливается, но через некоторое время исчезает.

Анонимный комментирует...

Алексей, такой вот странный запрос пользователя - он отправляет письмо на группу, членом которой является. И получает это письмо сам от себя. Это нормально? Можно ли каким-то образом этим управлять?

Алексей Богомолов (Alexx) комментирует...

К сожалению, я не знаю как от этого избавится (сам мучаюсь ;) ).

Анонимный комментирует...

Каким образом ограничить доступ на отправку и на просмотр определённой группе пользователей(именно группе безопасности)группе рассылки.

Алексей Болотов комментирует...

Можно как нибудь прописать чтобы письма по умолчанию от группы рассылки?

Алексей Богомолов (Alexx) комментирует...

Поставьте для объекта группы разрешение Send As в консоли АД для группы пользователей. (подробнее здесь http://exchangeserverpro.com/exchange-2010-send-as-permissions-distribution-group)

Алексей Болотов комментирует...

Нет. Вы наверно меня не правельно поняли. Можно ли сделать так чтобы когда человек который входит в группу рассылки "ОК" отсылая письмо во внешку от своего имени автоматом стояло от группы "ОК". Чтобы пользователю постоянно не ставить от кого письмо.

если не трудно постучитесь в асю 453750781

Алексей Богомолов (Alexx) комментирует...

Как реализовать такую задачу я не знаю.

Анонимный комментирует...

Подскажите кто знает. Есть динамическая группа рассылки, исходя из условий которой необходимо делать рассылку всем кроме пользователя vasya@tt.ru Группа динамической рассылки AllUsers . А выражение на исключение следующее -RecipientFilter {((RecipientType -eq 'UserMailbox') -and -not(Name -like 'ExcludeingUserName'))} Кака правильно его дописать???

Алексей Богомолов (Alexx) комментирует...

Я бы попробовал так:
-RecipientFilter {((RecipientType -eq 'UserMailbox') -and (Name -notlike 'ExcludeingUserName'))}
или -neq
подробнее тут http://technet.microsoft.com/en-us/library/hh847759.aspx

ThaViper комментирует...

А есть ли возможность назначать разрешения Send As для динамической группы?

Алексей Богомолов (Alexx) комментирует...

Не пробовал, но честно говоря не вижу причин по которым это не получится сделать.

ThaViper комментирует...

Просто для динамических групп во вкладке "Security" в ADUC нет таких разрешений как "Send As" и "Send To".
Есть предположение, что разрешено от имени группы отправлять только ее участникам.

Dima Fedorov комментирует...

Правильно ли я понимаю, что при создании динамической группы я не могу отфильтровать пользователей по городу или стране. Только по Штату/провинции?

Анонимный комментирует...

Здравствуйте Алексей!!! подскажите,,, не могу протестировать , создал группу рассылки теперь не могу на него отправить с мэйла или gmail письмо. на майле выдает не доставлено!!! галочку убрал (require that all sender are authenticated) все равно не работает!!! Заранее спасибо!!!

Павел Попов комментирует...

Подскажите, странная ситуация: при создании статических групп рассылки они у пользователей в адресной книге появляются сразу и без проблем, а динамические группы не появляются совсем. При этом в AD пользователи и компьютеры эти группы отображаются без иконок и с типом msExchDynamicDistributionList. В чем может быть проблема ?
Картинка тут www.lipser.ru/groups.jpg

Анонимный комментирует...

Добрый день! по умолчанию у всех групп рассылки активирована функция "require that all senders are authenticated" можно ли ее сразу деактивировать для всех создаваемых групп? спасибо!

Алексей Богомолов (Alexx) комментирует...

Можно попробовать этот вариант http://www.alexxhost.ru/2011/05/scripting-agents-cmdlet-extension.html

Анонимный комментирует...

Добрый день! Бывала ли у Вас ситуация когда сообщение отсылается на динамическую группу но пользователь который в ету группу входит, его не получил. Причем с ящиком пользователя все ок.

Анонимный комментирует...

управление статичными группами рассылки можно и через кнопку свойства в адресной книге и там менять состав. но пользователь, назначенный владельцем группы не может это сделать. выдается ошибка "не достаточно прав"
куда копать?

Анонимный комментирует...

А если группа рассылки пустая, то куда девается почта, которую пишут на адрес этой рассылки? Можно использовать группу рассылки, не содержащую членов, как "черную дыру"?

Анонимный комментирует...

Здравствуйте, подскажите если есть группа рассылки но в ней нет пользователей можно ли найти письма которые на нее приходили?

Алексей Богомолов (Alexx) комментирует...

К сожалению группа рассылки это не почтовый ящик, письма, пришедшие в нее ни где не хранятся.

Анонимный комментирует...

ответ к 13 февраля 2013 г., 12:48
Set-DynamicDistributionGroup -Identity GroupName -RecipientFilter {((RecipientType -eq 'Mailbox') -and -not(Name -like 'vasya@tt.ru'))}

С ув. Freestiler

Юрий Ходоренков комментирует...

добрый день.
вопрос уже поднимался анонимным пользователем.
есть необходимость отправки почты на адрес группы с внешних доменов.
галочку проверки подлинности я снял, но почта так и не хочет идти. надо лы выдерживать тайм аут и какой? может еще что-то мешает?

Юрий Ходоренков комментирует...

извиняюсь, пока формулировал текст, изменения применились и все заработало.

Павел комментирует...

Алексей, а можно ли в эксчендже при расслыке, чтобы в поле "кому" у получившего письмо , стоял только один (его) адрес. а не список группы рассылки?

Alexander Votintsev комментирует...

а можно сделать так, что бы письма от адреса отправлялись от имени рассылки "по умолчанию"? Чтобы сотруднику не приходилось при отправке каждого письма выбирать отправку от общего списка рассылки.

Вадим комментирует...

А можно ли создать динамическую группу рассылки из пользователей в определенной OU с определенной должностью? Никак не могу отсортировать пользователей по должности, у почтового ящика нет атрибута "Должность"?

Анонимный комментирует...

Добрый день!
А кто подскажет почему письма не доходят до модератора? зависают в очереди без ошибки. Тип верный moderated-Transport
Группу создал новую, все параметры задал вручную ничего не помогло...

Алексей Богомолов (Alexx) комментирует...

а с системными почтовыми ящиками все хорошо? В Application логах серверов смотрите возможные ошибки.

Анонимный комментирует...

Доброго времени суток! Подскажите, как писать письма от имени рассылки? Выполнил командлет Add-ADPermission -Identity DistributionGroup -ExtendedRights Send-As -User domain\username, получил сообщение, что пользователь добавлен, но при отправки письма, outlook выдает ошибку "У вас нет прав для отправки сообщения вместо указанного получателя".

Анонимный комментирует...

Проблема решилась, для отправки писем от имени рассылки необходимо было еще снять галочку, в свойствах рассылки, "Скрыть из списка адресов..."

Victor Borovikov комментирует...

Добрый день!При превышении размера письма из вне на группу рассылки отбивка разворачивает всю группу. Как победить сию дыру?

Антон Шестаков комментирует...

Добрый день. Помогите решить проблему с отправкой на динамическую группу. Фильтр работает, но ни одному из члена группы почта не доходит, хотя и отбойника не приходит отправителю. В отчете о доставке (поток обработки почты) светится надпись: "Данные отчета о доставке этого сообщения больше не доступны."

Отправить комментарий