Группы рассылки на сервере Exchange 2010

UPD: Важное дополнение, читать обязательно.

Группы рассылки на сервере Exchange это очень удобная и многофункциональная вещь. Ими пользуются, пожалуй, все администраторы почтовых серверов, но далеко не все умеют «правильно их готовить». В этой статье мы поговорим про принципы работы групп рассылки на сервере Microsoft Exchange 2010.

Основные сведения

Начнем с самого начала и кратко посмотрим на то, что же такое группы Active Directory вообще и группы рассылки на сервере Exchange в частности.

В Active Directory существует два типа групп:

• Группы безопасности (Security);
• Группы распространения (Distribution).

Отличие здесь лишь в том, что группы безопасности можно использовать для назначения разрешений на папки, файлы и т.п., а группы распространения – нет. Но через MS Outlook все же можно использовать группы распространения для установки прав на общие папки или папки почтовых ящиков. При этом группа рассылки автоматически преобразуется в универсальную группу безопасности службой банка данных Microsoft Exchange. Это происходит по умолчанию в сервере Exchange Server 2010 и Exchange Server 2007 и этот механизм можно отключить.

Что касается самого сервера Exchange, то тут также есть два вида групп:

• Статическая группа рассылки (Distribution Group);
• Динамическая группа рассылки (Dynamic Distribution Group).

Различие в том, что в первую пользователи добавляются вручную, а содержимое второй сервер обновляет сам при помощи ранее настроенных фильтров.

Создать группу рассылки на сервере Exchange 2010 совсем не трудно, для этого существуют два «специально обученных» мастера, первый из которых поможет вам создать новую группу, или наделить почтовыми функциями уже существующую универсальную группу в Active Directory, а второй поможет настроить фильтры для динамической группы рассылки (рис.1).

Рис.1: Создание групп рассылки из EMC.

Аналогичные действия можно осуществить при помощи командлетов:

· New-DistributionGroup – создание статической группы рассылки;

· Add-DistributionGroupMember – добавление пользователей в статическую группу рассылки;

· New-DynamicDistributionGroup – создание динамической группы рассылки.

После того как группы созданы, очень важно будет поддерживать их содержимое в актуальном состоянии. Для этого существует ряд механизмов.

«Самообслуживание» в статических группах рассылки

Неудобство статических групп заключается в том, что их состав достаточно быстро устаревает и его приходится редактировать вручную. Ранее это могли делать только администраторы почтового сервера либо пользователи, которым были делегированы соответствующие права. С недавнего времени эта ситуация изменилась и сотрудники организации могут сами изменять свое членство в статических группах рассылки. Делается это при помощи Exchange Control Panel (ECP), обычно доступной по адресу https://YourCASServer/ecp, либо из Outlook Web App – меню Options.

Но прежде чем сотрудник сможет полноценно управлять группой, либо просто добавлять или удалять самого себя, ему необходимо дать соответствующие разрешения. Параметры управления членством в динамической группе рассылки настраиваются в окне свойств группы. Во вкладке Membership Approval (рис.2) - определяются параметры, которые устанавливают порядок утверждения членства в группе:

Рис.2: Редактирование разрешений на управление членством в группе рассылки.

Наделить отдельных пользователей возможность управлять членством в группах рассылки можно добавив им роль RBAC – MyDistributionGroupMembership.

По умолчанию, владельцем группы становится пользователь её создавший. Отредактировать состав администраторов можно во вкладке Group Information – поле Management by: (рис.3)

Рис.3: Управление составом администраторов группы.

Аналогичное действие можно выполнить при помощи командлета:

Set-DistributionGroup -Identity “Distribution Group” -ManagedBy User

При этом владельцу группы совершенно не обязательно давать доступ к консолям управления сервером Exchange, ему достаточно использовать панель управления сервером (ECP), чтобы редактировать параметры делегированной ему группы (рис.4).

Рис.4: Управление параметрами группы через ECP.

Фильтрация состава получателей в динамической группе рассылки

Если со статическими группами все просто – кого добавили, тот там и есть, то с динамическими все несколько сложнее. Для фильтрации получателей в динамических группах рассылки используются специализированные наборы фильтров.

Если вы создаете динамическую группу через графическую консоль управления, то мастер вам сам предложит сконфигурировать те или иные фильтры, после чего покажет результирующий командлет, который будет выполнен по нажатию кнопки New.

Поговорим о фильтрах подробнее

В первом диалоговом окне мастера нужно указать имя будущей группы, её псевдоним и Organizational Unit, в которой будет сохранена группа, как объект Active Directory.

Рис.5: Первый шаг мастера по созданию динамической группы рассылки.

Нужно отметить, что здесь Organizational Unit не является обязательным параметром, т.к. он всего лишь указывает на место, куда будет сохранен объект а AD.

На втором шаге мастера мы переходим уже непосредственно к настройке самого фильтра группы.

Рис.6: Выбор типов получателей.

Здесь Organizational Unit тоже указывать не обязательно, но очень желательно, т.к. это самый первый фильтр, который будет использовать новая группа. Если OU не указана, то будет использована та OU, в которой расположена группа рассылки, т.е. OU по умолчанию, либо та, которая была указана на первом шаге мастера. Все последующие фильтры будут использовать только тот набор объектов, который найдут в этой Organizational Unit!

Далее необходимо указать типы получателей, которые могут быть членами новой группы. Если вы собираете группу из сотрудников организации, то не стоит оставлять галочку All recipient types, т.к. в этом случае в неё попадут нецелевые объекты, такие как другие группы рассылки, внешние контакты и ресурсные почтовые ящики, что не только окажет дополнительную нагрузку на сервер, но и может послужить причиной отправки конфиденциальных данных за пределы организации.

В дальнейшем, отредактировать указанные на этом шаге мастера свойства можно через окно свойств группы рассылки - вкладка Filter, либо при помощи параметров –RecipientContainer и –IncludedRecipients.

Следующий шаг мастера предлагает дополнительно отфильтровать получателей по свойствам их учетной записи.

Рис.7: Указание фильтров на основе атрибутов пользователя.

Здесь могут быть использованы такие стандартные параметры учетной записи, как Город, Отдел, Компания и плюсом к ним 15 настраиваемых атрибутов, которые мы вручную может присвоить объектам Active Directory и использовать в фильтре.

Настраиваемые атрибуты

Настраиваемые атрибуты устанавливаются для учетных записей следующим образом:

Set-Mailbox –Identity user -CustomAttribute1 "Test"

Либо через редактирование свойства ExtentionAttribute учетной записи пользователя в оснастке Active Directory Users and Computers (рис.8):

Рис.8: Редактирование настраиваемых атрибутов через свойства учетной записи в AD.

Указав значение настраиваемого атрибута 1 равным Test, мы можем использовать это слово в фильтре (рис.7).

На этом шаге возможности мастера по настройке фильтрации объектов заканчиваются, нам остается только посмотреть на результирующие данные и нажать кнопку New. После того, как создание группы будет завершено, вы увидите его результат и команду, которая была сгенерирована на основе предоставленной информации.

Дополнительные возможности фильтрации

Зачастую случается так, что для достижения желаемого результата описанных выше механизмов фильтрации не достаточно. В этом случае вам помогут настраиваемые фильтры, в которых вы сможете использовать другие атрибуты почтовых ящиков. Атрибутов у почтового ящика более чем достаточно и получить их список можно следующей командой:

Get-Mailbox User | FL

Далее желаемый атрибут необходимо добавить в фильтр динамической группы рассылки параметром -RecipientFilter . К сожалению, мы не можем просто добавить туда условие, необходимо полностью перезаписать значение фильтра. Для этого получаем значение текущего фильтра командой:

Get-DynamicDistributionGroup <YourGroupe> | fl RecipientFilter

Затем редактируем его и устанавливаем для группы рассылки измененное значение командой:

Set-DynamicDistributionGroup -Name <YourGroup> –RecipientFilter {<ваше значение>}

Подробнее про настраиваемы фильтры можно почитать в Библиотеке TechNet`a здесь и здесь.

Получаем список членов группы рассылки

После того, как вы создали группу, либо изменили примененный к ней фильтр, естественно, что вам нужно проверить содержимое и посмотреть, кто теперь является её членом.

Для статической группы рассылки это делается командой:

Get-DistributionGroupMember –identity <YourGroup>

Но список может быть достаточно большим, следовательно, гораздо удобнее будет выгрузить его в отдельный файл и открыть сторонней программой. Для этого можно воспользоваться следующей командой:

Get-DistributionGroupMember –identity <YourGroup> | ft name, primarysmtpaddress | Export-CSV c:\members.csv

Для получения списка членов динамической группы рассылки воспользуемся другой конструкцией:

$DynGroup = Get-DynamicDistributionGroup -Identity <YourGroup>

Get-Recipient -RecipientPreviewFilter $DynGroup.RecipientFilter

Здесь первая команда позволяет сохранить объект динамической группы рассылки в переменной $DynGroup. Вторая команда использует командлет Get-Recipient для отображения списка получателей, соответствующих критериям, определенным для динамической группы рассылки.

Список получателей динамической группы рассылки можно сгенерировать и через графическую консоль управления. Для этого необходимо открыть свойства нужной группы, перейти на вкладку Conditions (Условия) и нажать кнопку Preview (Просмотр) (рис.9).

Рис.9: Просмотр списка получателей динамической группы рассылки.

Модерация потока почты

Часто возникает задача контролировать поток сообщений, которые обрабатываются группой рассылки. Делается это на вкладке Mail Flow Settings в свойствах группы.

Здесь можно определить такие параметры как размер сообщений для группы и настроить адреса, с которых разрешено, либо запрещено получать почту.

Важно! По умолчанию для всех групп рассылки запрещено получение почты с внешних адресов! Убрать это ограничение можно в разделе Message Delivery Restrictions - Require that all senders are authenticated.

Рис.10: Ограничение на примем почты от внешних пользователей.

При этом для статических групп есть ещё очень интересная функция – Модерация сообщений (Message Moderation) (рис.10).

Рис.11: Настройка модерации сообщений.

Здесь мы можем указать модераторов, которые будут проверять почту перед её отправкой членам группы, а также указать пользователей, которые будут оправлять сообщения без модерации, и настроить параметры оповещений для отправителей.

Дополнительные свойства группы

Закончим описание свойств групп рассылки на вкладке Advanced (рис.11). Здесь настройки все достаточно понятны интуитивно. Думаю, что стоит остановиться только на параметре Set expansion server. Вам может понадобиться вручную указать сервер расширения лишь в том случае, если группа рассылки очень большая и разрешение почтовых адресов её членов оказывает значительную нагрузку на транспортные сервера. В этом случае можно указать конкретный транспортный сервер в организации, который и будет обрабатывать сообщения, отправленные на конкретную группу рассылки. Здесь необходимо не забыть о том, что в случае недоступности этого сервера, сообщения не будут доставлены членам группы.

Рис.12: Дополнительные параметры группы рассылки.

Отправка почты от имени группы рассылки

Редко, но все же возникает такая ситуация, когда необходимо написать письмо от имени группы рассылки. Для того, чтобы обеспечить пользователя правом отправлять сообщения от имени группы необходимо выполнить следующую команду:

Get-DistributionGroup -Identity <YourGroup> | Add-ADPermission -User <User> -ExtendedRights «Send As»

Заключение

В статье я постарался коротко описать те возможности, которые дают нам статические и динамические группы рассылки. Если у вас есть интересный опыт использования подобных механизмов, то всегда рад увидеть ваши отзывы в виде комментариев к данной статье.