UPD: Важное дополнение, читать обязательно.
Группы рассылки на сервере Exchange это очень удобная и многофункциональная вещь. Ими пользуются, пожалуй, все администраторы почтовых серверов, но далеко не все умеют «правильно их готовить». В этой статье мы поговорим про принципы работы групп рассылки на сервере Microsoft Exchange 2010.
Основные сведения
Начнем с самого начала и кратко посмотрим на то, что же такое группы Active Directory вообще и группы рассылки на сервере Exchange в частности.
В Active Directory существует два типа групп:
- Группы безопасности (Security);
- Группы распространения (Distribution).
Отличие здесь лишь в том, что группы безопасности можно использовать для назначения разрешений на папки, файлы и т.п., а группы распространения – нет. Но через MS Outlook все же можно использовать группы распространения для установки прав на общие папки или папки почтовых ящиков. При этом группа рассылки автоматически преобразуется в универсальную группу безопасности службой банка данных Microsoft Exchange. Это происходит по умолчанию в сервере Exchange Server 2010 и Exchange Server 2007 и этот механизм можно отключить.
Что касается самого сервера Exchange, то тут также есть два вида групп:
- Статическая группа рассылки (Distribution Group);
- Динамическая группа рассылки (Dynamic Distribution Group).
Различие в том, что в первую пользователи добавляются вручную, а содержимое второй сервер обновляет сам при помощи ранее настроенных фильтров.
Создать группу рассылки на сервере Exchange 2010 совсем не трудно, для этого существуют два «специально обученных» мастера, первый из которых поможет вам создать новую группу, или наделить почтовыми функциями уже существующую универсальную группу в Active Directory, а второй поможет настроить фильтры для динамической группы рассылки (рис.1).
Рис.1: Создание групп рассылки из EMC.
Аналогичные действия можно осуществить при помощи командлетов:
· New-DistributionGroup – создание статической группы рассылки;
· Add-DistributionGroupMember – добавление пользователей в статическую группу рассылки;
· New-DynamicDistributionGroup – создание динамической группы рассылки.
После того как группы созданы, очень важно будет поддерживать их содержимое в актуальном состоянии. Для этого существует ряд механизмов.
«Самообслуживание» в статических группах рассылки
Неудобство статических групп заключается в том, что их состав достаточно быстро устаревает и его приходится редактировать вручную. Ранее это могли делать только администраторы почтового сервера либо пользователи, которым были делегированы соответствующие права. С недавнего времени эта ситуация изменилась и сотрудники организации могут сами изменять свое членство в статических группах рассылки. Делается это при помощи Exchange Control Panel (ECP), обычно доступной по адресу https://YourCASServer/ecp, либо из Outlook Web App – меню Options.
Но прежде чем сотрудник сможет полноценно управлять группой, либо просто добавлять или удалять самого себя, ему необходимо дать соответствующие разрешения. Параметры управления членством в динамической группе рассылки настраиваются в окне свойств группы. Во вкладке Membership Approval (рис.2) - определяются параметры, которые устанавливают порядок утверждения членства в группе:
Рис.2: Редактирование разрешений на управление членством в группе рассылки.
Наделить отдельных пользователей возможность управлять членством в группах рассылки можно добавив им роль RBAC – MyDistributionGroupMembership.
По умолчанию, владельцем группы становится пользователь её создавший. Отредактировать состав администраторов можно во вкладке Group Information – поле Management by: (рис.3)
Рис.3: Управление составом администраторов группы.
Аналогичное действие можно выполнить при помощи командлета:
Set-DistributionGroup -Identity “Distribution Group” -ManagedBy User
При этом владельцу группы совершенно не обязательно давать доступ к консолям управления сервером Exchange, ему достаточно использовать панель управления сервером (ECP), чтобы редактировать параметры делегированной ему группы (рис.4).
Рис.4: Управление параметрами группы через ECP.
Фильтрация состава получателей в динамической группе рассылки
Если со статическими группами все просто – кого добавили, тот там и есть, то с динамическими все несколько сложнее. Для фильтрации получателей в динамических группах рассылки используются специализированные наборы фильтров.
Если вы создаете динамическую группу через графическую консоль управления, то мастер вам сам предложит сконфигурировать те или иные фильтры, после чего покажет результирующий командлет, который будет выполнен по нажатию кнопки New.
Поговорим о фильтрах подробнее
В первом диалоговом окне мастера нужно указать имя будущей группы, её псевдоним и Organizational Unit, в которой будет сохранена группа, как объект Active Directory.
Рис.5: Первый шаг мастера по созданию динамической группы рассылки.
Нужно отметить, что здесь Organizational Unit не является обязательным параметром, т.к. он всего лишь указывает на место, куда будет сохранен объект а AD.
На втором шаге мастера мы переходим уже непосредственно к настройке самого фильтра группы.
Рис.6: Выбор типов получателей.
Здесь Organizational Unit тоже указывать не обязательно, но очень желательно, т.к. это самый первый фильтр, который будет использовать новая группа. Если OU не указана, то будет использована та OU, в которой расположена группа рассылки, т.е. OU по умолчанию, либо та, которая была указана на первом шаге мастера. Все последующие фильтры будут использовать только тот набор объектов, который найдут в этой Organizational Unit!
Далее необходимо указать типы получателей, которые могут быть членами новой группы. Если вы собираете группу из сотрудников организации, то не стоит оставлять галочку All recipient types, т.к. в этом случае в неё попадут нецелевые объекты, такие как другие группы рассылки, внешние контакты и ресурсные почтовые ящики, что не только окажет дополнительную нагрузку на сервер, но и может послужить причиной отправки конфиденциальных данных за пределы организации.
В дальнейшем, отредактировать указанные на этом шаге мастера свойства можно через окно свойств группы рассылки - вкладка Filter, либо при помощи параметров –RecipientContainer и –IncludedRecipients.
Следующий шаг мастера предлагает дополнительно отфильтровать получателей по свойствам их учетной записи.
Рис.7: Указание фильтров на основе атрибутов пользователя.
Здесь могут быть использованы такие стандартные параметры учетной записи, как Город, Отдел, Компания и плюсом к ним 15 настраиваемых атрибутов, которые мы вручную может присвоить объектам Active Directory и использовать в фильтре.
Настраиваемые атрибуты
Настраиваемые атрибуты устанавливаются для учетных записей следующим образом:
Set-Mailbox –Identity user -CustomAttribute1 "Test"
Либо через редактирование свойства ExtentionAttribute учетной записи пользователя в оснастке Active Directory Users and Computers (рис.8):
Рис.8: Редактирование настраиваемых атрибутов через свойства учетной записи в AD.
Указав значение настраиваемого атрибута 1 равным Test, мы можем использовать это слово в фильтре (рис.7).
На этом шаге возможности мастера по настройке фильтрации объектов заканчиваются, нам остается только посмотреть на результирующие данные и нажать кнопку New. После того, как создание группы будет завершено, вы увидите его результат и команду, которая была сгенерирована на основе предоставленной информации.
Дополнительные возможности фильтрации
Зачастую случается так, что для достижения желаемого результата описанных выше механизмов фильтрации не достаточно. В этом случае вам помогут настраиваемые фильтры, в которых вы сможете использовать другие атрибуты почтовых ящиков. Атрибутов у почтового ящика более чем достаточно и получить их список можно следующей командой:
Get-Mailbox User | FL
Далее желаемый атрибут необходимо добавить в фильтр динамической группы рассылки параметром -RecipientFilter . К сожалению, мы не можем просто добавить туда условие, необходимо полностью перезаписать значение фильтра. Для этого получаем значение текущего фильтра командой:
Get-DynamicDistributionGroup <YourGroupe> | fl RecipientFilter
Затем редактируем его и устанавливаем для группы рассылки измененное значение командой:
Set-DynamicDistributionGroup -Name <YourGroup> –RecipientFilter {<ваше значение>}
Подробнее про настраиваемы фильтры можно почитать в Библиотеке TechNet`a здесь и здесь.
Получаем список членов группы рассылки
После того, как вы создали группу, либо изменили примененный к ней фильтр, естественно, что вам нужно проверить содержимое и посмотреть, кто теперь является её членом.
Для статической группы рассылки это делается командой:
Get-DistributionGroupMember –identity <YourGroup>
Но список может быть достаточно большим, следовательно, гораздо удобнее будет выгрузить его в отдельный файл и открыть сторонней программой. Для этого можно воспользоваться следующей командой:
Get-DistributionGroupMember –identity <YourGroup> | ft name, primarysmtpaddress | Export-CSV c:\members.csv
Для получения списка членов динамической группы рассылки воспользуемся другой конструкцией:
$DynGroup = Get-DynamicDistributionGroup -Identity <YourGroup>
Get-Recipient -RecipientPreviewFilter $DynGroup.RecipientFilter
Здесь первая команда позволяет сохранить объект динамической группы рассылки в переменной $DynGroup. Вторая команда использует командлет Get-Recipient для отображения списка получателей, соответствующих критериям, определенным для динамической группы рассылки.
Список получателей динамической группы рассылки можно сгенерировать и через графическую консоль управления. Для этого необходимо открыть свойства нужной группы, перейти на вкладку Conditions (Условия) и нажать кнопку Preview (Просмотр) (рис.9).
Рис.9: Просмотр списка получателей динамической группы рассылки.
Модерация потока почты
Часто возникает задача контролировать поток сообщений, которые обрабатываются группой рассылки. Делается это на вкладке Mail Flow Settings в свойствах группы.
Здесь можно определить такие параметры как размер сообщений для группы и настроить адреса, с которых разрешено, либо запрещено получать почту.
Важно! По умолчанию для всех групп рассылки запрещено получение почты с внешних адресов! Убрать это ограничение можно в разделе Message Delivery Restrictions - Require that all senders are authenticated.
Рис.10: Ограничение на примем почты от внешних пользователей.
При этом для статических групп есть ещё очень интересная функция – Модерация сообщений (Message Moderation) (рис.10).
Рис.11: Настройка модерации сообщений.
Здесь мы можем указать модераторов, которые будут проверять почту перед её отправкой членам группы, а также указать пользователей, которые будут оправлять сообщения без модерации, и настроить параметры оповещений для отправителей.
Дополнительные свойства группы
Закончим описание свойств групп рассылки на вкладке Advanced (рис.11). Здесь настройки все достаточно понятны интуитивно. Думаю, что стоит остановиться только на параметре Set expansion server. Вам может понадобиться вручную указать сервер расширения лишь в том случае, если группа рассылки очень большая и разрешение почтовых адресов её членов оказывает значительную нагрузку на транспортные сервера. В этом случае можно указать конкретный транспортный сервер в организации, который и будет обрабатывать сообщения, отправленные на конкретную группу рассылки. Здесь необходимо не забыть о том, что в случае недоступности этого сервера, сообщения не будут доставлены членам группы.
Рис.12: Дополнительные параметры группы рассылки.
Отправка почты от имени группы рассылки
Редко, но все же возникает такая ситуация, когда необходимо написать письмо от имени группы рассылки. Для того, чтобы обеспечить пользователя правом отправлять сообщения от имени группы необходимо выполнить следующую команду:
Get-DistributionGroup -Identity <YourGroup> | Add-ADPermission -User <User> -ExtendedRights «Send As»
Заключение
В статье я постарался коротко описать те возможности, которые дают нам статические и динамические группы рассылки. Если у вас есть интересный опыт использования подобных механизмов, то всегда рад увидеть ваши отзывы в виде комментариев к данной статье.
58 комментариев:
Хорошая статья
Добрый день!
Есть ли возможность просматривать членов дин. группы в Outlook как это возможно со статичной?
П.С.: Хорошая статья!
Нет, такой возможности нет, т.к. динамическая группа "собирается" сервером уже после отправки сообщения.
спасибо!
Всё доступно и понятно. Спасибо.
А не подскажете, почему не доставляется почта во вложенные группы, с включенной авторизацией? (для вышестоящей группы авторизация понятное дело отключена.)
Павел, а почему оно должно доставляться? Когда письмо приходит на группу, то Exchange определяет на какие именно адреса надо его переслать и делает это. Если группа вложенная, то письмо все равно идет сначала на её адрес, а не сразу на адреса её членов. Следоветельно, раз письмо пришло на адрес группы, пусть и вложенной в другую, то к нему в любом случае применяются все правила и органичения, наложенные на эту группу.
Алексей, а можно ли в эксчендже при расслыке, чтобы в поле "кому" у получившего письмо , стоял только один (его) адрес. а не список группы рассылки?
Алексей! подскажите пожалуйста,стоит необходимость сохранения всей переписки с целью предотвращения удаления пользователями писем с важной информацией, как это можно реализовать?
Посмотрите статью http://www.alexxhost.ru/2010/07/exchange-2010_06.html раздел "Юридическое удержание (Litigation Hold)", может быть это именно то, что вам нужно.
Алексей, подскажите пожалуйста, насчет ограничения на отправку почты на группы рассылки: вообщем сделал все настройки Message Delivery Restrictions указал группу кто может отправлять на группу рассылки, все ок. Есть такая проблемка, пользователь у кого нет доступа на отправку на группу рассылки выбирает группу после чего в Outlook есть возможность развертывание списка нажав на "+" как вы знаете, после этого соответственно отправляет на всех членов этой группы. Как можно решить данную проблему? Чтоб не развертывался список групп рассылки? Спасибо, жду ваших советов.
К сожалению у меня нет ответа на этот вопрос ((
Хочу включить права на отправку от имени универсальной почтовой группы безопасности. При выполнении командлета Get-DistributionGroup -Identity | Add-ADPermission -User -ExtendedRights «Send As»
появляется ошибка:
Операция Active Directory над dc.domain.ru не выполнена. Данная ошибка не допускает повторения попытки. Дополнител
ьные сведения: Отказано в доступе.
Отклик Active Directory: 00000005: SecErr: DSID-03151E07, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0
+ CategoryInfo : WriteError: (0:Int32) [Add-ADPermission], ADOperationException
+ FullyQualifiedErrorId : B99CF22C,Microsoft.Exchange.Management.RecipientTasks.AddADPermission
Выполняю от имени доменного администратора, перед этим делал миграцию с exchange 2003. Подскажите, пожалуйста, в чем дело?
попробуйте сбросить разрешение для группы на дефолтные. Для этого открываете свойства группы - Безопасность - Дополнительно - Восстановить умолчания.
Спасибо. После сброса разрешений в дефолтные, командлет выполнился. Но письмо от имени группы не отправляется. Подождал рекомендуемое время в два часа, и оказалось, что разрешения вернулись к первоначальному виду. Как отключить сброс прав?
Разрешения скорее всего наследуются от OU выше. Проверьте этот момент.
Нет, разрешения не унаследованы. И мое разрешение устанавливается, но через некоторое время исчезает.
Алексей, такой вот странный запрос пользователя - он отправляет письмо на группу, членом которой является. И получает это письмо сам от себя. Это нормально? Можно ли каким-то образом этим управлять?
К сожалению, я не знаю как от этого избавится (сам мучаюсь ;) ).
Каким образом ограничить доступ на отправку и на просмотр определённой группе пользователей(именно группе безопасности)группе рассылки.
Можно как нибудь прописать чтобы письма по умолчанию от группы рассылки?
Поставьте для объекта группы разрешение Send As в консоли АД для группы пользователей. (подробнее здесь http://exchangeserverpro.com/exchange-2010-send-as-permissions-distribution-group)
Нет. Вы наверно меня не правельно поняли. Можно ли сделать так чтобы когда человек который входит в группу рассылки "ОК" отсылая письмо во внешку от своего имени автоматом стояло от группы "ОК". Чтобы пользователю постоянно не ставить от кого письмо.
если не трудно постучитесь в асю 453750781
Как реализовать такую задачу я не знаю.
Подскажите кто знает. Есть динамическая группа рассылки, исходя из условий которой необходимо делать рассылку всем кроме пользователя vasya@tt.ru Группа динамической рассылки AllUsers . А выражение на исключение следующее -RecipientFilter {((RecipientType -eq 'UserMailbox') -and -not(Name -like 'ExcludeingUserName'))} Кака правильно его дописать???
Я бы попробовал так:
-RecipientFilter {((RecipientType -eq 'UserMailbox') -and (Name -notlike 'ExcludeingUserName'))}
или -neq
подробнее тут http://technet.microsoft.com/en-us/library/hh847759.aspx
А есть ли возможность назначать разрешения Send As для динамической группы?
Не пробовал, но честно говоря не вижу причин по которым это не получится сделать.
Просто для динамических групп во вкладке "Security" в ADUC нет таких разрешений как "Send As" и "Send To".
Есть предположение, что разрешено от имени группы отправлять только ее участникам.
Правильно ли я понимаю, что при создании динамической группы я не могу отфильтровать пользователей по городу или стране. Только по Штату/провинции?
Здравствуйте Алексей!!! подскажите,,, не могу протестировать , создал группу рассылки теперь не могу на него отправить с мэйла или gmail письмо. на майле выдает не доставлено!!! галочку убрал (require that all sender are authenticated) все равно не работает!!! Заранее спасибо!!!
Подскажите, странная ситуация: при создании статических групп рассылки они у пользователей в адресной книге появляются сразу и без проблем, а динамические группы не появляются совсем. При этом в AD пользователи и компьютеры эти группы отображаются без иконок и с типом msExchDynamicDistributionList. В чем может быть проблема ?
Картинка тут www.lipser.ru/groups.jpg
Добрый день! по умолчанию у всех групп рассылки активирована функция "require that all senders are authenticated" можно ли ее сразу деактивировать для всех создаваемых групп? спасибо!
Можно попробовать этот вариант http://www.alexxhost.ru/2011/05/scripting-agents-cmdlet-extension.html
Добрый день! Бывала ли у Вас ситуация когда сообщение отсылается на динамическую группу но пользователь который в ету группу входит, его не получил. Причем с ящиком пользователя все ок.
управление статичными группами рассылки можно и через кнопку свойства в адресной книге и там менять состав. но пользователь, назначенный владельцем группы не может это сделать. выдается ошибка "не достаточно прав"
куда копать?
А если группа рассылки пустая, то куда девается почта, которую пишут на адрес этой рассылки? Можно использовать группу рассылки, не содержащую членов, как "черную дыру"?
Здравствуйте, подскажите если есть группа рассылки но в ней нет пользователей можно ли найти письма которые на нее приходили?
К сожалению группа рассылки это не почтовый ящик, письма, пришедшие в нее ни где не хранятся.
ответ к 13 февраля 2013 г., 12:48
Set-DynamicDistributionGroup -Identity GroupName -RecipientFilter {((RecipientType -eq 'Mailbox') -and -not(Name -like 'vasya@tt.ru'))}
С ув. Freestiler
добрый день.
вопрос уже поднимался анонимным пользователем.
есть необходимость отправки почты на адрес группы с внешних доменов.
галочку проверки подлинности я снял, но почта так и не хочет идти. надо лы выдерживать тайм аут и какой? может еще что-то мешает?
извиняюсь, пока формулировал текст, изменения применились и все заработало.
Алексей, а можно ли в эксчендже при расслыке, чтобы в поле "кому" у получившего письмо , стоял только один (его) адрес. а не список группы рассылки?
а можно сделать так, что бы письма от адреса отправлялись от имени рассылки "по умолчанию"? Чтобы сотруднику не приходилось при отправке каждого письма выбирать отправку от общего списка рассылки.
А можно ли создать динамическую группу рассылки из пользователей в определенной OU с определенной должностью? Никак не могу отсортировать пользователей по должности, у почтового ящика нет атрибута "Должность"?
Добрый день!
А кто подскажет почему письма не доходят до модератора? зависают в очереди без ошибки. Тип верный moderated-Transport
Группу создал новую, все параметры задал вручную ничего не помогло...
а с системными почтовыми ящиками все хорошо? В Application логах серверов смотрите возможные ошибки.
Доброго времени суток! Подскажите, как писать письма от имени рассылки? Выполнил командлет Add-ADPermission -Identity DistributionGroup -ExtendedRights Send-As -User domain\username, получил сообщение, что пользователь добавлен, но при отправки письма, outlook выдает ошибку "У вас нет прав для отправки сообщения вместо указанного получателя".
Проблема решилась, для отправки писем от имени рассылки необходимо было еще снять галочку, в свойствах рассылки, "Скрыть из списка адресов..."
Добрый день!При превышении размера письма из вне на группу рассылки отбивка разворачивает всю группу. Как победить сию дыру?
Добрый день. Помогите решить проблему с отправкой на динамическую группу. Фильтр работает, но ни одному из члена группы почта не доходит, хотя и отбойника не приходит отправителю. В отчете о доставке (поток обработки почты) светится надпись: "Данные отчета о доставке этого сообщения больше не доступны."
Добрый день Алексей! Подскажите если сможете, как правильно добавить учетную запись пользователя из другого домена (домены находятся в одном лесу) в группу рассылки, суть в том, что создаю группу рассылки (Локальная в домене, что видеть другие домены) добавляю учетные записи из других доменов, а письма им не приходят.
Вы ящик добавляете через консоль Exchange или АД? Если через Exch, то письма должны отправляться, вопрос в том, где они застряют - смотрите очереди на HUB`х.
Алексей, добрый день.
Спасибо за Ваши статьи.
У меня возник вопрос, надеюсь Вы сможете мне в этом помочь.
Подскажите, есть ли возможность редактировать статические группы рассылки непосредственно из Outlook. Перечитал кучу статей, но не одна не помогла.
Установлено Exchange 2010 и Outlook 2010, права все даны, из ecp состав группы редактируется. Из Outlook ошибка, нет прав доступа для сохранения.
Добрый день! Алексей, есть ли возможность узнать кто внес изменения(добавил или удалил участников) в группу рассылок Exchange 2010 sp3?
Добрый! Попробуйте в Admin Audit логах посмотреть - https://technet.microsoft.com/en-us/library/dd335052(v=exchg.141).aspx
Подскажите, а можно посмотреть, кто имеет право отправлять на динамическую группу рассылки?
А как отправить письмо в группу рассылки из вне? например группа создана в домене @mydomain.ru а нужно отправить сообщение в эту группу например с маил.ру
Отправить комментарий