Управление почтовыми ящиками в Exchange 2010 - Введение Через почтовую систему предприятия постоянно проходит огромное количество информации, часть писем являются простыми информационными рассылками и могут быть удалены с сервера по прошествии небольшого количества времени, другие же напротив имеют определенную ценность для получателей и должны храниться в течении длительного срока. В современных условиях ведения бизнеса, обмен информацией это ещё и достаточно деликатная вещь, как с юридической точки зрения, так и с экономической. В связи с этим, руководство предприятия должно иметь возможность контролировать переписку пользователей с целью предупредить или же расследовать утечку конфиденциальных данных. Почтовая система, основанная на сервере Exchange 2010 способна обеспечить организацию механизмами хранения информации, контроля её потоков и оперативного восстановления в оригинальном виде. В данном цикле статей пойдет речь про управление информацией, хранящейся в почтовых ящиках на сервере Exchange 2010. Будут раскрыты следующие вопросы: Политики хранения (Retention policies) ........................................................................................... 2 Личные архивы (Personal Archive) ................................................................................................. 12 Поиск в нескольких почтовых ящиках (Multi-Mailbox Search) ....................................................... 19 Восстановление удаленных и модифицированных элементов .................................................... 24 Редактирование правил и оповещений MS Outlook 2010 с сервера Exchange 2010. ..................... 31 Alexey Bogomolov (Alexx) http://alexxhost.ru 1 Политики хранения (Retention policies) Зачастую, в связи с нехваткой дискового пространства в системе хранения данных, администраторы Exchange 2010 вынуждены накладывать на размер почтовых ящиков пользователей достаточно жесткие квоты. Естественно, что мало кто из сотрудников задумывает о том, сколько места на полке СХД занимает их почтовый ящик и совсем редкие сотрудники готовы тратить свое время на то, чтобы регулярно наводить в нем порядок. При этом у пользователей существует задача длительного хранения определенных записей, касающихся важных бизнес процессов, а перемещение их в локальный PST файл несет с собой ряд неудобств, хорошо знакомых всем администраторам Exchange. Для решения этой проблемы разработчики сервера Exchange 2010 предлагают использовать функционал управления записями сообщений - Messaging Records Management (MRM). MRM включает в себя две основополагающие технологии: Управляемые папками (Managed folders) – технология MRM пришедшая из Exchange 2007 (версия 1.0); Политики хранения (Retention policies) – новая технология MRM 2.0 в Exchange 2010. Смысл технологии MRM заключается в том, что каждый день, по расписанию (в Exchange 2010 с 01-00 до 09-00) запускается помощник по работе с управляемыми папками (Managed Folder Assistant), и сканируя почтовые ящики на сервере, выполняет те действия над записями в них, которые определены в политиках хранения (Retention policies) при помощи тэгов или в политиках почтовых ящиков (Mailbox policies). В результате, использования технологии MRM администраторы сервера Exchange 2010 могут решить сразу несколько задач: значительно снизить объем дискового пространства, занимаемый почтовыми базами; структурировать элементы в папках почтовых ящиков; обеспечить длительное хранение записей, которые имеют определенную степень значимости для организации. Стратегия Технология управления записями сообщений (MRM) предлагает к использованию два основных подхода: 1. Использование администратором сервера тэгов хранения для назначения записям и папкам политик хранения; 2. Пользовательская сортировка сообщений по папкам, либо присвоение отдельным элементам личных тэгов хранения. В результате получается так, что администратор назначает управляемым папкам («Входящие», «Отправленные», «Удаленные» и т.п.) определенные тэги хранения, а пользователь сортирует свои сообщения между этими папками, либо назначает свои личные тэги отдельным записям. При этом должны соблюдаться три основных принципа: Alexey Bogomolov (Alexx) http://alexxhost.ru 2 Пользователь сам классифицирует свои собственные; Сообщения, для которых не задан срок хранения удаляются; Сообщения с каким-либо сроком хранения сохраняются. Примечание: В Exchange 2010 технология управляемых папок (MRM 1.0) оставлена лишь для совместимости с Exchange 2007, следовательно если используются только сервера Exchange 2010, то рекомендуется отказаться от использования управляемых папок в пользу политики хранения. В Exchange 2010 SP1 MRM1.0 удалена совсем и остается только технология Retention Policies (MRM 2.0). Политики хранения (Retention policies) Политики хранения определяют срок хранения для различных классов сообщений электронной почты. С помощью политик хранения группируются один или несколько тэгов хранения. Тэги бывают трех видов: Тэг политики хранений (Retention policy tags - RTP) – применяются к папкам по умолчанию («Входящие», «Удаленные» и т.п.), при этом элементы в папка наследуют этот тэг; Тэг политики по умолчанию (Default policy tags - DPT) – применяются к тем элементам, к которым не применен ни один тэг; Личные тэги пользователей (Personal tags) – переопределяют тэги RTP и DTP, но могут быть использованы только в Outlook 2010 и Outlook Web App. В результате почтовому ящику может быть назначена только одна политика хранения, которая может содержать в себе один или несколько тэгов. По истечении сроков хранения (определенных тэгами), над элементами могут быть выполнены следующие действия: MoveToArchive – перемещает сообщение в архивный почтовый ящик; MoveToDeletedItems – перемещает сообщение в папку «Удаленные»; DeleteAndAllowRecovery – эмулирует процесс очистки папки «Удаленные»; PermanentlyDelete – окончательное удаление; MarkAsPastRetentionLimit – помечает сообщение как сообщение с истекшим сроком хранения. В Outlook`e отображается с перечеркнутым заголовком. Примечание: Удержание хранения (Retention Hold) позволяет отключить обработку почтового ящика политикой хранения на определенный период. Это действие применяется в случае длительного отсутствия сотрудника на рабочем месте, например в связи с отпуском или болезнью. Управляемые папки (Managed folders) Управляемая папка — это папка в почтовом ящике пользователя, к которой применяется управление записями обмена сообщениями. Существует два типа управляемых папок: Управляемы папки по умолчанию – стандартные папки типа «Входящие», «Исходящие», «Отправленные» и т.п.. Можно создавать дополнительные папки для разных групп пользователей через консоль Exchange; Управляемые настраиваемые папки – создаются в папке верхнего уровня с именем «Управляемые папки» (требуются Enterprise CAL). Alexey Bogomolov (Alexx) http://alexxhost.ru 3 Над управляемыми папками можно осуществить действия, практически такие же, которые озвучены выше при описании политик хранения: Переместить в папку «Удаленные» Если выбран этот параметр, сообщения автоматически перемещаются в папку «Удаленные». Переместить в настраиваемую управляемую папку Если выбран этот параметр, сообщения автоматически перемещаются в настраиваемую управляемую папку, указанную в поле Переместить в следующую настраиваемую управляемую папку. Удалить и разрешить восстановление Если выбран этот параметр, сообщения удаляются, но могут быть восстановлены с помощью команды Восстановить удаленные элементы в Outlook. Обратите внимание, что сообщения могут быть восстановлены, только если для них настроено сохранение в восстанавливаемом состоянии. Окончательно удалить Если выбран этот параметр, сообщения окончательно удаляются и не могут быть восстановлены пользователем. Установить отметку " Срок хранения истек". Если выбран этот параметр, сообщения в Outlook показываются серым перечеркнутым текстом. Никакое другое действие не выполняется. Этот сигнал об истечении срока действия используется, чтобы предложить пользователю предпринять какое-либо действие. Для управляемых папок, также как и в случае с тэгами хранения назначаются политики почтовых ящиков управляемых папок (логические группировки управляемых папок) и они также обрабатываются помощником по работе с управляемыми папками по заданному расписанию. Помощником по работе с управляемыми папками (Managed Folder Assistant) Как уже было сказано ранее, действия, определенные тэгами хранения, над записями в почтовом ящике выполняет помощником по работе с управляемыми папками. В связи с тем, что обработка всех почтовых ящиков на сервере может оказать достаточно серьезную нагрузку, рекомендуется запускать помощника во время наименьшей активности почтовой системы. По умолчанию это время установлено с 01-00 до 09-00 ежедневно. Можно изменить расписание помощника через EMC (Конфигурация сервера - Почтовый ящик – Свойства сервера - Управление записями обмена сообщениями – Настройка): Alexey Bogomolov (Alexx) http://alexxhost.ru 4 Рис.1: Настройка расписания помощника по работе с управляемыми папками. Либо воспользоваться командой: Set-MailboxServer -Identity MyMailboxServer -ManagedFolderAssistantSchedule "Sun.14:00-Sun.13:00" Если вам необходимо немедленно обработать часть почтовых ящиков на сервере, то следует воспользоваться командлетом Start-ManagedFolderAssistant, который по умолчанию запускает обработку всего локального сервера почтовых ящиков. Примечание: В Exchange 2010 SP1 параметр –Identity указывает не на сервер, как в Exchange 2010, а на отдельный почтовый ящик, следовательно, для обработки всех ящиков на сервер с SP1 нужно выполнить команду Get-Mailbox | Start-ManagedFolderAssistant Использование политик хранения на практике Для того, чтобы осознать как работает данная технология, рассмотрим практическую задачу, которая будет звучать следующим образом: Задача: Необходимо обеспечить следующие параметры хранения корпоративной почты: 1. 2. 3. 4. 5. По умолчанию все письма хранятся в течении 1 года; Записи в папке «Удаленные» хранятся в течении 30 дней; Записи в папке «Нежелательная почта» хранятся в течении 15 дней; Записи по проекту «Contoso» хранятся 3 года; Пользователь может применят к записям личные тэги: Архив – 365 дней; Критические для предприятия – срок хранения 3 года; Alexey Bogomolov (Alexx) http://alexxhost.ru 5 Удалить – 1 неделя; Удалить – 180 дней. Данная задача проиллюстрирована на рисунке: Alexey Bogomolov (Alexx) http://alexxhost.ru 6 Рис.2: Иллюстрация использования политик хранения. Теперь давайте рассмотрим процесс реализации данной задачи на практике. Примечание: В Exchange 2010 SP1 появилась возможность работать с MRM также и через графическую оболочку Exchange Management Console. Создадим тэги политики по умолчанию: Для работы с политиками хранения необходимо быть членами групп ролей «Управление организацией» и «Управление записями» (Organization Management and Records Management), поэтому нужно сначала добавить пользователей в эти группы. Сделать это можно через сайт ECP – Управление организацией – Roles&Auditing – Роли администратора: Рис.3: Добавление пользователей в группу ролей RBAC – Records Management. Либо командой: Add-RoleGroupMember -Identity "Records Management " -Member User1 После наделения нужных пользователей соответствующими правами, можно приступать к созданию тэгов политик хранения. Для этого в Exchange 2010 SP1 можно использовать графическую консоль управления (Конфигурация Организации – Почтовый ящик - Тэги политик хранения – Новый тэг политики хранения): Alexey Bogomolov (Alexx) http://alexxhost.ru 7 Рис.4: Создание тэга хранения через EMC в Exchange 2010 SP1. Примечание: Некоторые из функций политик хранения требуют корпоративных лицензий клиентского доступа (Enterprise CAL) и информация об этом выводится в нижней части окна визарда. Если вы используете Exchange 2010 без SP1, то придется воспользоваться командной консолью следующим образом: Для перемещения в папку «Удаленные» через 365 дней сообщений, к которым не применено ни каких других тэгов, используется тэг политики по умолчанию (DTP): New-RetentionPolicyTag "Tag-Default" -Type All -Comment "Items without a retention tag are deleted in 1 year." -RetentionEnabled $true -AgeLimitForRetention 365 -RetentionAction MoveToDeletedItems Для удаления через 30 дней записей из папки «Удаленные» применяется тэг политики хранения (RTP): New-RetentionPolicyTag "Tag- DeletedItems" -Type "DeletedItems" -Comment "Deleted Items are purged in 30 days" -RetentionEnabled $true -AgeLimitForRetention 30 -RetentionAction PermanentlyDelete Для создания личных тэгов используется следующая команда: New-RetentionPolicyTag "Tag-BusinessCritical" -Type Personal -Comment "Business Critical messages are moved to the archive in 3 years." -RetentionEnabled $true -AgeLimitForRetention 1095 RetentionAction MoveToArchive Аналогично создаются другие тэги политик хранения и личные тэги. После создания всех необходимых тэгов, их нужно объединить в политику хранения. Группируем тэги в политику хранения: Alexey Bogomolov (Alexx) http://alexxhost.ru 8 Напомню, что почтовому ящику может быть назначена только одна политика хранения, и создается она следующей командой: New-RetentionPolicy "RP-1" -RetentionPolicyTagLinks " Tag-Default "," Tag-DeletedItems "," TagBusinessCritical " и т.д. Тоже действие можно выполнить через EMC (Конфигурация Организации – Почтовый ящик Политики хранения – Новая политика хранения):: Рис.5: Объединение тэгов хранения в политику хранения. Примечание: Если удалить тэг из политики хранения, то он все равно будет продолжать действовать на элементы, которые были им помечены ранее! Чтобы этого не произошло, нужно удалить сам тэг при помощи командлета Remove-RetentionPoliyTag. Связываем политику RP-1 с необходимыми почтовыми ящиками: Далее созданную политику необходимо назначить одному или нескольким почтовым ящикам. Для одного почтового ящика: Set-Mailbox "User1" -RetentionPolicy "RP-1" Для всех почтовых ящиков: Get-Mailbox | Set-Mailbox -RetentionPolicy "RP-1" Для группы рассылки: Get-DistributionGroupMember -Identity "Groupe Name" | Set-Mailbox -RetentionPolicy "RP-1" В Exchange 2010 SP1 визард сам у вас запросит ответ на этот вопрос: Alexey Bogomolov (Alexx) http://alexxhost.ru 9 Рис.6: Связывание политики хранения с почтовыми ящиками. Это действие завершает настройку политик хранение на стороне сервера, теперь необходимо научить пользователей применять эти политики к записям, которые должны иметь свои собственные сроки хранения. Сточки зрения пользователя Для полноценного использования технологии политик хранения, необходимо обучить пользователей использовать личные тэги хранения, они доступны в Outlook 2010 или в Outlook Web App. Для того, чтобы назначить записи в почтовом ящике личный тэг хранения необходимо нажать на записи правой кнопкой мыши и выбрать действие Политика архива – Срок хранения, которые определяется личными тэгами хранения: Alexey Bogomolov (Alexx) http://alexxhost.ru 10 Рис.7: Назначение личного тэга сообщению через Outlook Web App. Необходимо помнить, что пользователь может применять личный тэг только к элементам папок по умолчанию, но не к самим папкам. Заключение В результате правильной настройки политик хранения вы сможете очистить базы почтовых ящиков от ненужных писем, структурировать записи в ящиках пользователей, позволить сотрудникам самим управлять сроком хранения сообщений и тем самым будете уверены, что важная корреспонденция будет храниться столько, сколько нужно и при этом место в СХД не будет забито информационными рассылками. Alexey Bogomolov (Alexx) http://alexxhost.ru 11 Личные архивы (Personal Archive) Для того, чтобы отделить устаревшие элементы в почтовых ящиках пользователей от актуальных, ранее в MS Outlook применялся механизм архивации почты, в результате которого, все элементы с определенным сроком давности перемещались в локальный PST файл и тем самым удалялись с сервера Exchange. Этот механизм работает и сейчас, но он является устаревшим и малоэффективным, хотя бы просто потому, что локальными PST файлами уже нельзя управлять с сервера Exchange. На смену, или точнее на помощь, этому функционалу в Exchange 2010 пришла новая технология создания личного архива (Personal Archive), которая сильно заинтересовала администраторов Exchange 2010, а с учетом изменений, которые были внесены в неё в SP1, она стала очень полезной и для организации в целом. Примечание: Необходимо знать, что использование личных архивов требует наличия Enterprise CAL для почтовых ящиков. Для перемещения писем из основного почтового ящика пользователя в архивный используются политики архивации. Политики архивации — это политики хранения, о которых было рассказано в первой части. Данные политики реализованные путем создания тегов хранения, задающих действие переместить в архив (MoveToArchive). После включения личного архива почтовому ящику автоматически присваивается политика архивации по умолчанию, которая определяется следующими тэгами: Имя тега хранения Перемещать в архив по умолчанию через 2 года Перемещать в архив личные через 1 год Перемещать в архив личные через 5 лет Никогда не перемещать личные в архив Тип тега По умолчанию Личные Личные Личные Описание Сообщения автоматически перемещаются в архивный почтовый ящик через 2 года. Применяется к тем элементам во всем почтовом ящике, к которым не был применен тег хранения, явный или унаследованный от папки. Сообщения автоматически перемещаются в архивный почтовый ящик через 365 дней. Сообщения автоматически перемещаются в архивный почтовый ящик через пять лет. Сообщения никогда не перемещаются в архивный почтовый ящик. Примечание: Указанные выше тэги являются системными, следовательно, чтобы они присутствовали в выводе командлета Get-RetentionPolicyTag, необходимо использовать параметр IncludeSystemTags. Создание личного архива для почтовых ящиков По умолчанию личные архивы отключены для всех почтовых ящиков. Включение личного архива может быть выполнено двумя способами: 1. Во время создания нового почтового ящика для нового пользователя Во время создания нового пользователя в Exchange 2010, визард предлагает настроить параметры архива, а в SP1 ещё и указать в какой базе данных архив будет размещен: Alexey Bogomolov (Alexx) http://alexxhost.ru 12 Рис.8: Создание личного архива для нового пользователя и размещение его в отдельной базе данных. Возможность выбора базы данных почтовых ящиков для размещения архива является очень важным изменением, внесенным в Service Pack 1 для Exchange 2010, т.к. ранее можно было хранить личный архив только в той же самой базе данных, в которой находился основной почтовый ящик. 2. Включение лично архива для уже имеющегося почтового ящика Если пользователь в AD уже существует, то придется сначала создать для него почтовый ящик, а потом активировать функцию личного архива. Делается это из контекстного меню почтового ящика, как показано на рисунке: Рис.10: Активация функции личного архива для имеющегося почтового ящика. Либо при помощи команды: Enable-Mailbox -Identity “User1” -Archive Проверить место расположения архива можно либо в свойствах почтового ящика, либо командой Alexey Bogomolov (Alexx) http://alexxhost.ru 13 Get-Mailbox “User1” | fl Name,Database,ArchiveDatabase Рис.11: информация о базах данных, которым принадлежит почтовый ящик. Переместить архивный почтовый ящик в другую базу данных можно командой: Get-Mailbox “User1” | New-MoveReques –ArchiveOnly –ArchiveTargetDatabase MDB1 Рис.12: Перемещение личного архива в другую базу данных при помощи EMS. Либо при помощи EMC создав Новый локальный запрос на перемещение (New Local Move Request) и выбрав опцию Переместить только архивный почтовый ящик (Move only archive mailbox): Рис.13: Перемещение личного архива в другую базу данных при помощи EMC. Настройка квот для личного архива Alexey Bogomolov (Alexx) http://alexxhost.ru 14 Поскольку личные архивы по умолчанию создаются с неограниченным хранилищем, необходимо настроить квоты хранилища личного архива, чтобы предотвратить неконтролируемое разрастание базы данных. Квоты бывают двух видов: Квота предупреждения архива – Когда личный архив превышает указанную квоту предупреждения, это событие регистрируется в журнале для администратора Exchange, а в почтовый ящик пользователя отправляется предупреждающее сообщение. Квота архива – Когда личный архив превышает указанную квоту архива, то сообщения больше не перемещаются в архив, а в почтовый ящик пользователя отправляется предупреждающее сообщение. Для настройки квот можно использовать графическую консоль Exchange (Свойства почтового ящика – Mailbox Settings – Archive Quota): Рис.12: Настройка квоты для личного архива Но таким образом можно настроить только размер архива, при котором отправляется уведомление, и это не совсем удобно в случае, когда пользователей много. Чтобы настроить оба вида квот для всех почтовых ящиков, нужно воспользоваться командой: Get-Mailbox | Set-Mailbox -ArchiveQuota 1GB -ArchiveWarningQuota 950MB Отключение и подключение личных архивов Личные архивы можно отключить от почтовых ящиков. После отключения личный архив остается в базе данных почтовых ящиков по умолчанию в течении 30 дней. В это время его можно восстановить, связав с существующим почтовым ящиком. Примечание: Если отключить личный архив, а потом его включить, то почтовый ящик получит новый архив. Alexey Bogomolov (Alexx) http://alexxhost.ru 15 Для отключения личного архива можно воспользоваться командой: Disable-Mailbox -Identity "User1" -Archive Либо графической консолью управления Exchange, для этого нужно нажать на почтовый ящик пользователя правой кнопкой мыши и выбрать действие Disable Archive. Для возвращения личного архива почтовому ящику сначала необходимо его найти среди отключенных почтовых ящиков. Для этого можно воспользоваться графической консолью (Recipient Configuration - Disconnected Mailbox): Рис.13: Расположение отключенных почтовых ящиков. Примечание: Возможно, сначала придется перезапустить службу Microsoft Exchange Information Store и выполнить команду Clean-MailboxDatabase. а затем выполнить действие Connect to Primary Mailbox. Подключить архивный почтовый ящик можно и при помощи EMS, для этого необходимо выполнить те же действия: 1. Узнаем имя отключенного архива Get-MailboxDatabase "MDB2" | Get-MailboxStatistics | Where {($_.DisconnectDate -ne $null) -and ($_.IsArchiveMailbox -eq $true)} Format-List В данном примере выполняется поиск всех отключенных личных архивов в базе данных почтовых ящиков MDB2 и отображаются все дополнительные сведения о личных архивах, такие как идентификатор GUID и количество элементов. 2. Подключение личного архива к основному почтовому ящику. Connect-Mailbox -Identity "8734c04e-981e-4ccf-a547-1c1ac7ebf3e2" -Archive -User "User1" -Database "MDB2" В этом примере выполняется подключение архива пользователя User1 к основному почтовому ящику этого пользователя, и в качестве удостоверения личного архива используется идентификатор GUID. Alexey Bogomolov (Alexx) http://alexxhost.ru 16 Примечание: Придется подождать, пока закончится репликация Active Directory, прежде чем пользователь сможет получить доступ к этому личному архиву. Название личного архива Чтобы было удобнее ориентироваться в большом количестве архивных почтовых ящиков, их названия можно изменить в Cвойствах почтового ящика – Mailbox Features – Archive: Рис.14: Изменение имени личного архива. Использование личного архива на практике Доступ к архивному почтовому ящику может быть осуществлен только при использовании MS Outlook 2010 либо Outlook Web App: Alexey Bogomolov (Alexx) http://alexxhost.ru 17 Рис.15: Отображение личного архива в Outlook Web App. Сообщения могут быть помещены в архив либо пользователями в ручном режиме, либо автоматически при помощи политик хранения. Как говорилось выше, при активации функции личного архива, автоматически создается политика хранения по умолчанию, основанная на тэгах хранения. Вы можете изменить эти тэги, либо создать свои, о том как это сделать было написано в первой части - «Управление почтовыми ящиками в Exchange 2010 – Политики хранения». Заключение При помощи использования личных архивов, администраторы Exchange 2010 SP1 могут значительно снизить нагрузку на дисковую подсистему сервера, путем переноса устаревшей корреспонденции в отдельную базу данных почтовых ящиков, расположенную на более дешевых хранилищах. При этом они могут избежать проблемы потери контроля над содержимым архивных почтовых ящиков, что было бы неизбежно в случае переноса записей в локальный PST файл. Alexey Bogomolov (Alexx) http://alexxhost.ru 18 Поиск в нескольких почтовых ящиках (Multi-Mailbox Search) Реалии ведения современного бизнеса таковы, что зачастую стоимость одного документа с конфиденциальными данными является просто огромной. Одним из каналов утечки этих самых конфиденциальных данных может служить корпоративная почта. В связи с этим, перед сотрудниками службы внутренней безопасности встает задача мониторинга входящей и исходящей корреспонденции. Для решения задач мониторинга переписки пользователей или просто поиска информации, в Exchange 2010 существует функция поиска по нескольким почтовым ящикам. Поиск в нескольких почтовых ящиках (Multi-Mailbox Search) – это базовая функция Exchange 2010, основанная на индексах содержимого. Благодаря единому механизму индексации содержимого для функции поиска в нескольких почтовых ящиках не требуются дополнительные ресурсы для сканирования и индексации баз данных при обработке запросов на обнаружение. Доступ к поиску по нескольким почтовым ящикам реализован через панель управления Exchange (ECP), открыть которую можно из Outlook Web App, либо по адресу https://YourServer/ecp. Благодаря простому пользовательскому интерфейсу, данной функцией могут управлять не только технически грамотные специалисты, но и простые сотрудники. В поиске по нескольким почтовым ящикам применяется синтаксис расширенных запросов (AQS), он используется службой Windows Search и мгновенным поиском в Microsoft Outlook 2007 и более поздних версиях. Пользователи, знакомые с синтаксисом AQS, могут легко создать сложные поисковые запросы. Очевидно, что доступом к такому функционалу должны обладать лишь строго определенные лица, по этому, в Exchange 2010 существует специальная группа ролей RBAC – Группа управления обнаружением (Discovery Management), данная группа включает в себя две роли: Роль поиска в почтовых ящиках (Mailbox Search) – позволяет пользователям выполнять поиск на обнаружение; Роль юридического удержания (Legal Hold) – позволяет пользователям включать для почтовых ящиков функцию юридического удержания. По умолчанию, группа ролей Управление обнаружением не имеет участников, и даже администраторы не имеют права выполнять поиск на обнаружение. Они могут лишь делегировать данное право уполномоченным сотрудникам. Делегирование прав на выполнение поиска на обнаружение Проще всего добавить пользователя в группу ролей RBAC через Exchange Control Panel (ECP). Для этого необходимо открыть сайт ECP (https://YourServer/ecp), перейти в раздел Управление Организацией – Role & Auditing – Роли администратора – выбрать группу ролей Discovery Management – в открывшемся окне добавить пользователей к группе. Alexey Bogomolov (Alexx) http://alexxhost.ru 19 Рис.16: Добавление пользователей в группу «Управление обнаружением» (Discovery Management) через Exchange Control Panel. Также можно это проделать и через командную консоль: Add-RoleGroupMember -Identity "Discovery Management" -Member User1 Аудит использования функции поиска по нескольким почтовым ящикам Функция поиска в нескольких почтовых ящиках — это мощный инструмент, который предоставляет пользователям с соответствующими разрешениями потенциальный доступ ко всем записям системы обмена сообщениями, хранящимся в организации Exchange 2010. Очень важно вести наблюдение и контролировать использование этой технологии. Контролю должны быть подвергнуты как сами поисковые запросы, так и процесс добавления пользователей в группу ролей управления обнаружением. Для операций поиска на обнаружение доступны два типа ведения журнала: Обычное ведение журнала включено по умолчанию для всех операций поиска. В нем регистрируются сведения о поиске и выполнившем его пользователе. Сведения, собираемые при простом ведении журнала, включаются в текст сообщения электронной почты, которое отправляется в почтовый ящик, где хранятся результаты поиска. Это сообщение находится в папке, созданной для хранения результатов поиска. Полное ведение журнала - При полном ведении журнала в нем регистрируются сведения о всех сообщениях, возвращенных в поиске. Эти сведения содержатся в CSV-файле, который вкладывается в сообщение электронной почты, содержащее сведения простого ведения журнала. Для имени CSV-файла используется имя поиска. Чтобы включить полное ведение журнала, выберите в консоли управления поиском Включить полное ведение Alexey Bogomolov (Alexx) http://alexxhost.ru 20 журнала или укажите уровень ведения журнала в командной консоли с помощью параметра LoggingLevel. Для мониторинга добавления пользователей в группу ролей управления обнаружением служит аудит изменений в роли RBAC, который обеспечивает ведение соответствующих записей для отслеживания назначений групп ролей. Дополнительные сведения о ведении журнала аудита RBAC смотрите в справке TechNet. Практическое использование поиска в нескольких почтовых ящиках Добавив пользователей в группу Discovery Management и обеспечив себе контроль над их действиями, можно приступить к обучению сотрудников использованию этой функции. Поиск После добавления пользователя в группу Discovery Management, у него на сайте ECP появляется возможность попасть в параметры управления организацией и в меню Управление почтой отображается функция поиска в почтовых ящиках: Рис.17: Функция поиска в нескольких почтовых ящиках на сайте ECP пользователя. Для создания запроса на обнаружение необходимо нажать кнопку Создать и заполнить карточку поиска: Alexey Bogomolov (Alexx) http://alexxhost.ru 21 Рис.18: Карточка поиска в почтовых ящиках. Полей для заполнения достаточно много, но смысл их интуитивно понятен, так что я думаю вы сами разберетесь что тут и зачем. Примечание: Если не указан запрос поиска, то в целевой почтовый ящик будет скопирован весь контент указанных почтовых ящиков. Перед выполнением поиска следует убедиться, что в хранилище, на котором расположена база данных почтовых ящиков достаточно свободного места. Просмотр результатов После нажатия кнопки Сохранить задание поиска начнет выполняться и через какое-то время вы увидите статистику выполненного запроса, а результаты поиска будут скопированы в специальный почтовый ящик обнаружения. Чтобы просмотреть результаты поиска необходимо открыть Discovery Search Mailbox, делается это из меню пользователя в правом верхнем углу Outlook Web App – Открыть другой почтовый ящик: Alexey Bogomolov (Alexx) http://alexxhost.ru 22 Рис.19: Подключение к другому почтовому ящику. Нужно заметить, что доступ к Discovery Search Mailbox имеют только пользователи, добавленные в группу ролей Discovery Management. Открыв почтовый ящик вы увидите там структуру, повторяющую расположение записи в исходном почтовом ящике пользователя. Примечание: Можно создать дополнительный почтовый ящик обнаружения (Discovery Search Mailbox) командой New-Mailbox SearchResults -Discovery -UserPrincipalName SearchResults@contoso.com Заключение При помощи функции поиска по нескольким почтовым ящикам (Multi-Mailbox Search) администраторы сервера Exchange 2010 могут делегировать уполномоченному персоналу возможность мониторинга пользовательской переписки путем выполнения поиска записей в их почтовых ящиках. Но ни кто не мешает сотрудникам удалять компрометирующие их письма. Для контроля над удалением и модификацией содержимого почтовых ящиков в Exchange 2010 существует функция Юридического удержания (Legal Hold) и восстановления отельных элементов (Single item recovery), о которых мы поговорим подробнее далее. Alexey Bogomolov (Alexx) http://alexxhost.ru 23 Восстановление удаленных и модифицированных элементов В прошлой статье – «Поиск в нескольких почтовых ящиках» мы начали обсуждать проблему контроля над оборотом конфиденциальных данных, и было рассказано про возможности Exchange 2010 в расследовании утечки информации методом поиска в почтовых ящиках пользователей. Но один лишь поиск определенных фраз не всегда решает задачу, стоящую перед сотрудниками службы внутренней безопасности. Чтобы предупредить удаление или модификацию записей в почтовых ящиках, Exchange 2010 предлагает администраторам функционал Юридического удержания (Litigation Hold) и восстановления отельных элементов (Single item recovery). Удаление записей в Exchange 2010 Перед тем, как разбираться с техникой восстановления удаленных элементов, давайте посмотрим, как происходит процесс удаления записей из почтовых ящиков Exchange 2010. Его можно проиллюстрировать следующим изображением: Рис.20: Процесс удаления записей в Exchange 2010 Из всех папок в почтовом ящике записи сначала удаляются в папку «Удаленные» (1), затем при очистке папки «Удаленные» записи перемещаются в скрытую папку элементов для восстановления Recoverable Items folder\Deletions (2). При включенном режиме юридического удержания, в эту же папку перемещаются записи при их модификации (подпапка Versions) (4). Через 14 дней из подпапки Deletions записи перемещаются в подпапку Purges и удаляются на совсем из базы данных во время работы помощника по обслуживанию почтовых ящиков (Manage Folder Assistant), т.е. по умолчанию каждый день с 01-00 до 09-00. Далее давайте обсудим данные стадии подробнее. Alexey Bogomolov (Alexx) http://alexxhost.ru 24 Первое, что нужно знать – это то, что в Exchange существует 2 вида удалений: обратимое удаление (1) – простое удаление записей, при котором элементы перемещаются в папку «Удаленные»; необратимое удаление (2) – осуществляется при удалении элементов из папки «Удаленные», либо путем нажатия сочетания клавиш SHIFT и DELETE. После выполнения необратимого удаления сообщение перемешается в папку элементов для восстановления (Recoverable Items folder) и пользователь больше его не видит. В этой папке сообщение хранится по умолчанию 14 дней. Папка элементов для восстановления (Recoverable Items folder) Папка элементов для восстановления (Recoverable Items folder) – это новая функция Exchange 2010, она заменяет компонент, обычно называемый корзиной в предыдущих версиях. Папка Recoverable Items folder содержит три дочерних папки: Удаление (Deletions) – сюда перемещаются элементы, удаленные из папки «Удаленные» или безвозвратно удаленные из других папок. Они будут видимы пользователю при использовании средства восстановления удаленных элементов в Outlook. Очистка (Purges) - сюда перемещаются элементы, удаленные из папки «Deletions» и элементы, для которых истек период хранения. Элементы в этой папке не будут видимы пользователям, использующим средство восстановления удаленных элементов. Когда помощник по обслуживанию почтовых ящиков (Managed Folder Assistant) обрабатывает почтовый ящик, элементы в папке «Очистка» удаляются из базы данных, но если ящик находится в режим хранения юридической информации (Litigation Hold), помощник по обслуживанию почтовых ящиков не удаляет элементы из этой папки. Версии (Versions). Когда пользователь Exchange 2010, для которого включен режим хранения юридической информации, меняет отдельные элементы почтового ящика, исходный элемент сохраняется для соблюдения требований обнаружения. Папка «Версии» не отображается для пользователей. Папки «Очистка» и «Версии» не доступны простым пользователям, но администраторы могут делегировать право доступа к ним путем добавления пользователя в группу ролей RBAC «Управление обнаружением» (Discovery Management), о процедуре добавления пользователей в группы ролей можно прочитать в предыдущей статье «Поиск в нескольких почтовых ящиках». Single item recovery Как уже было сказано выше, из подпапки Deletions в папке Recoverable Items folder, пользователь самостоятельно может восстановить элементы. Этот процесс называется Single item recovery, по умолчанию он включен, и удаленные сообщения хранятся в течение 14 дней, этот срок можно изменить для всех пользователей в настройках базы данных почтовых ящиков на вкладке Limits: Alexey Bogomolov (Alexx) http://alexxhost.ru 25 Рис.21: Срок хранения удаленных писем в настройках базы данных Set-MailboxDatabase –Identity <имя базы данных> –DeletedItemRetention <количество дней> Либо он может быть изменен для конкретного почтового ящика в его свойствах – вкладка Mailbox Settings – Storage Quota: Alexey Bogomolov (Alexx) http://alexxhost.ru 26 Рис.22: Изменение параметров хранения удаленных записей для конкретного почтового ящика. Set-Mailbox –Identity <имя почтового ящика> –RetainDeletedItemsFor <количество дней> Функцию Single Item Recovery можно отключить для всех почтовых ящиков на сервере командой: Get-Mailbox | Set-SingleItemRecovery $True/False О том, как пользователи могут самостоятельно восстанавливать элементы из папки Recoverable Items folder\Deletions мы поговорим дальше. Юридическое удержание (Litigation Hold) и Single item recovery В Exchange Server 2010 функция юридического удержания позволяет добиться следующего: Для пользователей можно включать режим хранения, чтобы поддерживать элементы почтовых ящиков в неизмененном состоянии; Сохраняются элементы почтовых ящиков, удаленные пользователями; Сохраняются элементы почтовых ящиков, автоматически удаляемые службой управления записями обмена сообщениями (MRM); Хранение юридической информации не затрагивает пользователя, так как работа службы управления записями обмена сообщениями не прерывается; Допускается поиск и обнаружение хранимых таким образом элементов. Для хранения юридической информации также используется папка элементов для восстановления (Recoverable Items folder). Юридическое удержание может быть включено для отдельного почтового ящика командой: Set-Mailbox user1@test.local -LitigationHoldEnabled $true При этом на активацию данной функции может уйти около часа. В Exchange 2010 SP1 юридическое удержание можно включить через Exchange Control Panel, либо через графическую консоль управления, как показано на рисунках: Alexey Bogomolov (Alexx) http://alexxhost.ru 27 Рис.23: Включение юридического удержания через ECP в Exchange 2010 SP1. Alexey Bogomolov (Alexx) http://alexxhost.ru 28 Рис.24: Включение юридического удержания через EMC в Exchange 2010 SP1. Сравнение Single item recovery и Litigation Hold Возможночти восстановления удаленных элементов при помощи функций Single item recovery и Litigation Hold можно сравнить в таблице: Функция Восстановление элементов после обратимого удаления Single item recovery отключена Single item recovery включена Юридическое удержание Восстановление элементов после необратимого удаления Пользователи могут очистить папку для восстановления ДА НЕТ ДА ДА ДА НЕТ ДА ДА НЕТ Автоматическая очистка 14 дней и 120 дней для записей календаря 14 дней и 120 дней для записей календаря НЕТ Восстановление записей Для самостоятельного восстановления пользователем записей, которые были необратимо удалены нужно воспользоваться средством восстановления удаленных элементов в MS Outlook, для этого в Outlook 2010 перейдем в меню Папка – раздел Очистка – пункт Восстановление удаленных элементов: Рис.23: Восстановление писем из папки Recoverable Items folder\Deletions Далее нужно выбрать необходимые записи и нажать кнопку Восстановить. В этом же окне можно окончательно удалить записи, в результате чего они будут перемещены в подпапку Recoverable Items folder\Purges и удалены из базы данных при обработке почтового ящика помощником по обслуживанию почтовых ящиков (Manage Folder Assistant). Что касается содержимого папок Purges и Versions, то их содержимое может просмотреть только член группы Discovery Management, выполнив запрос на поиск в почтовом ящике. О том, как работает поиск по нескольким почтовым ящикам было рассказано в прошлой статье «Поиск в нескольких почтовых ящиках». Alexey Bogomolov (Alexx) http://alexxhost.ru 29 Заключение В результате использования функций Single item recovery и Litigation Hold администраторы серверов Exchange 2010 могут дать пользователям возможность не только восстанавливать случайно удаленные записи, но и в случае необходимости восстанавливать эти записи в оригинальном виде, после их умышленной или не умышленной модификации. Alexey Bogomolov (Alexx) http://alexxhost.ru 30 Редактирование правил и оповещений MS Outlook 2010 с сервера Exchange 2010. В прошлых статьях мы обратились к теме управления записями, находящимися в почтовых ящиках пользователей и посмотрели варианты реализации задач, связанных со сроками хранения содержимого почтовых ящиков, его архивацией, поиском и восстановлением. Сегодня мы продолжим разговор про управление почтовыми ящиками и обратимся к теме конфигурирования правил и оповещений для папки Входящие (Manage Rules & Alerts). Все мы знаем, как удобно использовать правила, например, для сортировки писем по подпапкам, или для назначения письмам от руководителя определенной метки. Уверен, что многие успешно применяют этот функционал, но практика показывает, что есть и такие, кто даже не подозревают о существовании такой возможности, а некоторые просто делают ошибки при настройке правил, тем самым создавая лишние проблемы службе технической поддержки. Раньше приходилось идти к пользователю и объяснять, что такое правила и оповещения в MS Outlook, либо руками редактировать то, что он сам наделал. С приходом Exchange 2010 эта ситуация изменилась и теперь администраторы прямо с сервера могут управлять настройкой правил и оповещений Outlook 2010. Делегирование прав Возможность выполнять действия по изменению правил для папки «Входящие» потенциально затрагивает всех пользователей организации, следовательно, данную функцию нужно делегировать только доверенным сотрудникам. Для делегирования необходимых прав нужно добавить пользователя в одну из следующих групп ролей RBAC: Organization Management; Recipient Management; Help Desk. Добавить пользователя в группу ролей можно либо через сайт ECP, как показано на рисунке: Alexey Bogomolov (Alexx) http://alexxhost.ru 31 Рис.24: Добавление пользователей в группу ролей RBAC при помощи ECP. Либо выполнив команду: Add-RoleGroupMember -Identity "Help Desk " -Member User1 Редактирование правил папки «Входящие» через ECP На мой взгляд, самый удобный способ разобраться в том, что натворил пользователь у себя в настройках правил – это зайти в Exchange Control Panel (https://YourServer/ECP), открыть параметры его ящика (Параметры – Другой пользователь) и посмотреть в раздел Упорядочивание электронной почты – Правила для папки «Входящие»: Alexey Bogomolov (Alexx) http://alexxhost.ru 32 Рис.25: Редактирование Правил и оповещений через ECP в Exchange 2010 SP1. Здесь через графический интерфейс можно создать новые либо отредактировать уже существующие правила. Данный способ очень удобно использовать при решении проблем у конкретных пользователей. Но что делать, если необходимо создать конкретное правило для всех сотрудников предприятия? Как вы уже наверно догадались, здесь нам приходит на помощь Power Shell. Обработка правил Перед тем, как начать редактирование правил через Power Shell нужно уяснить, что существует два вида обработки правил: Обработка на стороне сервера; Обработка на стороне клиента. При использовании учетной записи MS Exchange, подавляющее большинство правил обрабатываются на стороне сервера, но если вы захотите, например, перенести какие-то сообщения в локальный PST-файл, то получите предупреждение о том, что данное правило будет обрабатываться клиентом: Alexey Bogomolov (Alexx) http://alexxhost.ru 33 Рис.26: Предупреждение о том, что правило будет выполняться клиентом. Это и понятно, ведь Exchange не умеет работать с PST-файлами. Далее при попытке сохранить данный набор правил вы получите ещё одно предупреждающее сообщение вида: Рис.27: Оповещение при попытке сохранить набор правил. При этом данное правило невозможно будет редактировать ни через ECP, ни через EMS. Примечание: В справке TechNet указано, что при работе с правилами через EMS, все правила выполняющиеся на стороне клиента будут удалены! (у себя в тестовой среде я этого не заметил). Редактирование правил через Power Shell. Для управления правилами почтовых ящиков пользователей Power Shell предлагает администраторам Exchange 2010 ряд командлетов: Get-InboxRule Set-InboxRule New-InboxRule Enable-InboxRule Disable-InboxRule Remove-InboxRule Подробное описание командлетов вы можете изучить по приведенным ссылкам, а здесь давайте посмотрим ряд стандартных действий: Просмотра правил определенного почтового ящика Это действие выполняется следующей командой: Get-InboxRule -Mailbox user1@domain.ru | fl Name,Description Команда выводит имя и описание всех правил почтового ящика пользователя user1. Чтобы посмотреть конкретное правило подробнее нужно использовать ключ –Identity. Создание правила Предположим вам нужно установить всем пользователям правило, присваивающее высокую важность и красную категорию всем письмам, пришедшим от руководителя. Для этого используем связку Get-Mailbox | New-InboxRule со следующими параметрами: Get-Mialbox | New-InboxRule -Name GenDir -From GenDir@domain.ru -ApplyCategory 'Категория "Красные"' -MarkImportance 'High' Alexey Bogomolov (Alexx) http://alexxhost.ru 34 Рис.28: Назначение всем пользователям нового правила GenDir. При этом выводится предупреждение, что ранее отключенные правила будут удалены из настроек почтового ящика. Изменение правил После того, как мы создали правила для всех пользователей, может наступить «торжественный момент», когда эти правила необходимо будет изменить (например, при смене директора, а вместе с ним и его адреса). Для изменения правил необходимо воспользоваться командлетом Set-InboxRule. Чтобы изменить один из параметров правила необходимо знать имя правила и имя изменяемого параметра. Получаем список правил командой: Get-InboxRule -Mailbox user1@domain.ru | fl Name,Description Узнаем имя параметра, из полного списка свойств правила GenDir: Get-InboxRule -Mailbox user1@domain.ru -Identity GenDir Изменяем параметр From в правиле GenDir для всех пользователей: Get-Mialbox | Set-InboxRule -Identity GenDir -From NewDir@domain.ru Отключение/удаление правил Часто бывает так, что на время нужно отключить выполнение определенного правила, для этого существует командлет Disable-InboxRule. Например, чтобы отключить правило GenDir у самого директора, необходимо выполнить команду: Disable-InboxRule -Mailbox NewDir@domain.ru -Identity GenDir Аналогично можно активировать ранее отключенное правило: Enable-InboxRule -Mailbox NewDir@domain.ru -Identity GenDir Если же вам нужно совсем удалить правило из почтового ящика, то необходимо воспользоваться командой: Remove-InboxRule -Mailbox NewDir@domain.ru -Identity GenDir Заключение Alexey Bogomolov (Alexx) http://alexxhost.ru 35 Подводя итог, можно сказать, что Exchange 2010 дает администратору ещё один гибкий и мощный инструмент, помогающий управлять почтовыми ящиками пользователей. При этом новый функционал позволяет значительно снизить время, затрачиваемое на выполнение поставленных задач и упростить сам процесс администрирования. Alexey Bogomolov (Alexx) http://alexxhost.ru 36