Caso: implementación de directivas de libretas de direcciones
Se aplica a: Exchange Server 2013
Escenarios de implementación
Los tres escenarios siguientes describen posibles soluciones de implementación para tres tipos de organización. Aunque existen muchos otros, los escenarios más conocidos se incluyen aquí. Las listas de direcciones y las listas globales de direcciones (LGD) de estos escenarios se crearon en base a filtros tales como Atributos personalizados que agrupan objetos de forma lógica.
Escenario 1: Dos compañías independientes: una organización de Exchange
Este escenario es aplicable a las autoridades gubernamentales, divisiones o departamentos que compartan una infraestructura, pero que no tengan ninguna cadena de notificación ni empleados en común. Además, las divisiones no tienen ninguna preocupación especial relativa a la seguridad o a la privacidad. En este escenario se crean dos directivas de libretas de direcciones (ABP) en las que los empleados solo pueden ver a los miembros de la misma organización cuando visualizan la lista global de direcciones (GAL) o consultar la pertenencia de otros grupos de distribución. Además, ningún usuario es miembro de los grupos de distribución que abarcan toda la organización.
Los ABPs de Contoso y Humongous Insurance se crearon mediante las siguientes listas de direcciones, listas globales de direcciones, listas de salas y OAB, que se crearon mediante un filtro de destinatario que agrupaba los objetos con un filtro como Atributo personalizado. Debido a que las dos empresas son independientes y no existe ninguna interacción entre ambas, no hay ninguna lista de direcciones en común.
Contoso | Seguro humongous | |
---|---|---|
Listas de direcciones | AL_CON_Groups AL_CON_Users AL_CON_Contacts |
AL_HI_Groups AL_HI_Users AL_HI_Contacts |
Lista global de direcciones | GAL_CON | GAL_HI |
Lista de direcciones de salas | AL_CON_Rooms | AL_HI_Rooms |
Libreta de direcciones sin conexión (OAB) | OAB_CON | OAB_HI |
Escenario 2: Dos empresas comparten un director general
En este escenario, Fabrikam y Tailspin Toys comparten la misma organización de Exchange y el mismo director general. El director general es la única persona en común entre las dos compañías. Este escenario requiere tres ABP, que tienen las siguientes características:
- Los usuarios de Tailspin Toys solo pueden ver a los usuarios de Tailspin Toys cuando examinan la lista global de direcciones (GAL).
- Los usuarios de Fabrikam solo pueden ver a los usuarios de Fabrikam cuando examinan la lista global de direcciones (GAL).
- En cada empresa hay un grupo de distribución SeniorLeaders, que incluye a los altos ejecutivos de dicha empresa y al director general común.
- Los usuarios que examinen la pertenencia a grupos del ceo solo verán los grupos que pertenecen a la empresa del usuario. No verán grupos que no estén en su propia empresa.
- Se crean tres ABP: Fab, Tail y CEO.
Fabrikam | Tailspin Toys | Presidente ejecutivo | |
---|---|---|---|
Listas de direcciones | AL_FAB_Users_DGs AL_FAB_Contacts |
AL_TAIL_Users_DGs AL_TAIL_Contacts |
AL_FAB_Users_DGs AL_FAB_Contacts AL_TAIL_Users_DGs AL_TAIL_Contacts |
Lista global de direcciones | GAL_FAB | GAL_TAIL | LGD predeterminada |
Lista de direcciones de salas | AL_FAB_Rooms | AL_TAIL_Rooms | Todas las salas predeterminadas |
Libreta de direcciones sin conexión (OAB) | OAB_FAB | OAB_TAIL | OAB predeterminada |
Cuando el CEO se agrega a los grupos de distribución de cada organización y está dentro del ámbito de ABP de cada empresa, el CEO se vuelve visible para cada empresa. El director ejecutivo puede crear grupos de distribución que abarquen ambas empresas y que serán visibles dentro de la GAL de cada empresa, pero los miembros del grupo de distribución solo podrán ver los miembros del grupo que se encuentran dentro de su propia organización.
Escenario 3: Educación
Este escenario se aplica a escuelas y universidades, en las que se necesita una división de aulas para asegurar la privacidad de los estudiantes. El escenario Educación tiene las siguientes características:
- Los alumnos de cada aula solo pueden ver a los alumnos de su propia aula, a su profesor y al director.
- Los profesores solo pueden ver a los alumnos de su propia aula.
- Los profesores pueden ver al resto de profesores y al director.
- Se crean grupos de distribución para los elementos principales de cada aula y para los profesores.
Students_ClassA | Teachers_ClassA | Director | |
---|---|---|---|
Listas de direcciones | AL_ClassAAL_Principal | AL_ClassAAL_AllTeachersAL_AllGroupsAL_Principal | AL_ClassA AL_ClassB AL_AllTeachers AL_AllStudents AL_AllGroups |
Lista global de direcciones | GAL_StudentsClassA | GAL_TeachersClassA | GAL_Everyone |
Lista de direcciones de salas | AL_BlankRoom | AL_BlankRoom | Todas las salas predeterminadas |
Libreta de direcciones sin conexión (OAB) | OAB_StudentsClassA | OAB_TeachersClassA | OAB predeterminada |
Consideraciones y procedimientos recomendados
Cuando utilice las ABP en su organización, considere lo siguiente:
Para que las ABP funcionen correctamente, el buzón de usuario en el que aplica la ABP debe estar en un servidor Exchange 2010 SP3 o Exchange 2013.
No ejecute el rol de servidor de acceso de cliente de Exchange 2010 en el servidor de catálogo global. Si realiza esto, se usa Active Directory para la interfaz del proveedor de servicio de nombres (NSPI), en lugar del servicio de libreta de direcciones de Microsoft Exchange. Puede ejecutar los roles de servidor de Exchange 2013 en un servidor de catálogo global y lograr que las ABP funcionen correctamente; sin embargo, no se recomienda instalar Exchange en un controlador de dominio.
No se puede usar la libreta jerárquica de direcciones (LJD) y las ABP de manera simultánea. Para obtener más información, consulte Las libretas de direcciones jerárquicas.
Los usuarios con ABP asignadas deben existir en su propia LGD.
Si permite que las aplicaciones cliente accedan a Active Directory directamente a través de LDAP, omitirán la lógica integrada en abps. Dado que Outlook para Mac 2011 y Entourage 2008 usan consultas LDAP directas para acceder a Active Directory, esas aplicaciones cliente no funcionarán correctamente con ABPs si el servicio de detección automática especifica o proporciona un controlador de dominio o un servidor de catálogo global. Outlook para Mac 2011 puede usar EWS o una OAB local para acceder a la información del directorio. Sin embargo, si Outlook para Mac 2011 puede acceder directamente a un servicio LDAP, intentará hacerlo.
La LGD que se usa en una ABP debe contener, como mínimo, todas las listas de direcciones, incluida la lista de direcciones de salas definida y especificada en una ABP. No cree una LGD que contenga menos objetos que cualquiera de las listas de direcciones en la misma ABP.
Se recomienda crear grupos de distribución que no crucen los límites de la organización virtual. La creación de grupos de distribución que contengan miembros de varias organizaciones virtuales origina los siguientes problemas:
Si los miembros de los grupos solicitan confirmaciones de envío o de lectura cuando envían un correo al grupo de distribución, podrán ver las direcciones de correo electrónico de los miembros del grupo en otras organizaciones virtuales
Si se envía un mensaje cifrado al grupo de distribución y algunos miembros del grupo no poseen un identificador digital válido, el remitente recibirá un mensaje de advertencia que incluye el número total de miembros que no poseen un identificador válido y una lista de sus direcciones de correo electrónico. No obstante, si algunos de los miembros sin identificador digital válido están en una organización distinta a la del remitente, el mensaje de advertencia incluirá la cuenta correcta pero no incluirá las direcciones de correo electrónico de los miembros de la otra organización. Como resultado, el recuento total no coincidirá con la lista de direcciones de miembros.
Por ejemplo, supongamos que un grupo de distribución contiene cinco miembros en total de dos organizaciones, la Agencia A y la Agencia B. Tres miembros del grupo pertenecen a la Agencia A y uno de esos miembros tiene como identificador digital no válido. Los otros dos miembros pertenecen a la Agencia B y ambos tienen identificadores digitales no válidos. Si un miembro de la Agencia A envía un mensaje cifrado al grupo de distribución, dicho miembro recibirá un mensaje de advertencia que indica que hay un total de tres destinatarios sin identificadores digitales válidos. Sin embargo, solo la dirección de correo electrónico del destinatario de la Agencia A aparecerá en el mensaje de advertencia.
Las ABP no se aplican a los cmdlets Get-Group. Por lo tanto, cualquier usuario o proceso disponible para ejecutar Get-Group verá todos los miembros de cualquier grupo al que tenga acceso.
Se recomienda modificar la configuración de la administración de grupos de las opciones OWA, de modo que los usuarios no puedan usar la Outlook Web App para administrar grupos. Para evitar que los usuarios usen las opciones OWA para administrar grupos, exclúyalos del rol RBAC MyDistributionGroupMembership. Para obtener información detallada, consulte Rol MyDistributionGroupMembership.
Si permite a los usuarios que usen Outlook o Outlook Web App para administrar grupos, los propietarios de los grupos deben tener completa visibilidad sobre los miembros del grupo.
Todas las ABP deben contener una lista de direcciones de salas. Sin embargo, si en su organización no se usan listas de direcciones de salas, puede crear una lista de direcciones de salas vacía predeterminada.
La implementación de las ABP no impide que los usuarios de una organización virtual envíen correos electrónicos a los usuarios de otra organización virtual. Si desea impedir que los usuarios envíen correos electrónicos de una organización a otra, se recomienda crear una regla de transporte. Por ejemplo, para crear una regla de transporte que impida que los usuarios de Contoso reciban mensajes de los usuarios de Fabrikam, pero que siga permitiendo al equipo de directivos de Fabrikam enviar mensajes a los usuarios de Contoso, ejecute el siguiente comando de Shell:
New-TransportRule -Name "StopFabrikamtoContosoMail" -FromMemberOf "AllFabrikamEmployees" -SentToMemberOf "AllContosoEmployees" -DeleteMessage -ExceptIfFrom seniorleadership@fabrikam.com
Si desea aplicar una característica similar a ABP en el cliente lync, puede establecer el
msRTCSIP-GroupingID
atributo en objetos de usuario específicos. Para obtener más detalles, vea el tema PartitionByOU sustituida por msRTCSIP-GroupingID.
Pasos generales de implementación
Migración de la segmentación de listas de direcciones a ABP
Si en la organización se configuró una solución de segregación de listas de direcciones de Exchange 2007 mediante las instrucciones que figuran en las notas del producto Configurar organizaciones virtuales y segregación de listas de direcciones en Exchange 2007 , primero debe migrar a Exchange Server 2010 siguiendo los pasos que se detallan en Migrar a Exchange 2010 directivas de libretas de direcciones de una segregación de listas de direcciones de Exchange 2007. Este proceso requiere tiempo de inactividad para la organización y, por lo tanto, deberá programarlo de la manera conveniente.
Nueva implementación de ABP
Si la organización va a implementar ABP de Exchange 2013 y no ha usado la segregación de listas de direcciones de Exchange 2007, utilice estas instrucciones para implementar las ABP en la organización.
Los pasos de esta sección le guiarán por escenario 2: dos empresas que comparten un ceo. En este escenario, dos empresas (Fabrikam y Tailspin Toys) son independientes pero comparten el presidente ejecutivo y el equipo de directivos.
Paso 1: Instalar y configurar al agente de enrutamiento de directivas de libretas de direcciones
Si usa ABP y no desea que los usuarios de diferentes organizaciones virtuales vean la información potencialmente confidencial del otro, puede activar el agente de enrutamiento de directivas de libretas de direcciones. El agente de enrutamiento de directivas de libretas de direcciones es un agente de transporte que se ejecuta en el servidor de buzones y controla cómo se resuelven los destinatarios en la organización. Cuando el agente de enrutamiento de directivas de libretas de direcciones está instalado y configurado, los usuarios a los que se les han asignado GAL diferentes aparecen como destinatarios externos, los cuales no pueden ver las tarjetas de contacto de otros destinatarios externos.
Para obtener instrucciones detalladas, consulte Instalar y configurar el agente de enrutamiento de directivas de libreta de direcciones.
Paso 2: Dividir las organizaciones virtuales
Tendrá que desarrollar un modo para dividir las organizaciones. Se recomienda utilizar la propiedad CustomAttribute1-15 en los buzones, contactos y grupos, en lugar de los atributos condicionales predefinidos como Company, Department o StateOrProvince para dividir las organizaciones virtuales por los siguientes motivos:
No todos los tipos de destinatario de objetos tienen atributos condicionales predefinidos en Active Directory. Por ejemplo, Grupo de distribución y Grupo de distribución dinámico no admiten los atributos de compañía, departamento o estado.
No todos los atributos condicionales predefinidos están expuestos en cmdlets para algunos destinatarios. Por ejemplo, los parámetros Company, department y StateOrProvince no están disponibles en los cmdlets expuestos para usuarios de correo, contactos, grupos de distribución y carpetas públicas habilitadas para correo.
Se requieren varios cmdlets para segregar destinatarios cuando se usa un atributo condicional predefinido. Por ejemplo, debe ejecutar Set-User para etiquetar Company, Department, StateOrProvince para un UserMailbox después de ejecutar cmdlets New-Mailbox o Set-Mailbox .
Los parámetros CustomAttributeX se exponen en el cmdlet Set-* para cada tipo de destinatario; podemos completar toda la segregación para ese tipo mediante un solo cmdlet Set-
Los atributos CustomAttributeX se reservan explícitamente para la personalización de una organización y están bajo el control total de los administradores de la organización.
Otro procedimiento recomendado que puede implementar al segregar la organización es usar identificadores de compañía en los nombres de los grupos de distribución y los grupos de distribución dinámicos. Exchange incluye una característica de directiva de nomenclatura de grupo que agrega automáticamente un prefijo o un sufijo al nombre del grupo de distribución en función de varios atributos del usuario que crea el grupo de distribución, incluido el creador de los valores para Company, StateorProvince, Title y del CustomAttribute1 al CustomAttribute15 del grupo de distribución. Esta directiva de nomenclatura de grupo resulta especialmente importante si permite a los usuarios crear sus propios grupos de distribución. Para obtener más información, consulte Crear una directiva de nomenclatura de grupos de distribución.
Las directivas de nomenclatura de grupo no se aplican a los grupos de distribución dinámicos, por lo que deberá segregarlos y aplicarles una directiva de nomenclatura manualmente.
Paso 3: Crear las listas de direcciones, las LGD y las OAB
Al crear las listas de direcciones y las listas globales de direcciones, no use los parámetros "IncludedRecipient" ni "ConditionalX", como ConditionalCompany o ConditionalCustomAttribute5. En su lugar, utilice un filtro de destinatarios. Debe utilizar el Shell para crear filtros de destinatarios. Para obtener más información acerca de los filtros de destinatarios, consulte Filtrado de destinatarios en servidores de transporte perimetral
Al crear una ABP, deberá crear varias listas de direcciones en función de cómo desea que los usuarios vean las listas en Outlook o en Outlook Web App. Esta organización tiene cuatro listas de direcciones:
AL_FAB_Users_DGs
AL_FAB_Contacts
AL_TAIL_Users_DGs
AL_TAIL_Contacts
Este ejemplo crea la lista de dirección LD_TAIL_Usuarios_DG. La lista de direcciones incluye todos los usuarios y grupos de distribución en los que el valor de CustomAttribute15 equivale a TAIL.
New-AddressList -Name "AL_TAIL_Users_DGs" -RecipientFilter "((RecipientType -eq 'UserMailbox') -or (RecipientType -eq 'MailUniversalDistributionGroup') -or (RecipientType -eq 'DynamicDistributionGroup')) -and (CustomAttribute15 -eq 'TAIL')"
Para obtener más información sobre la creación de listas de direcciones con filtros de destinatarios, vea Crear una lista de direcciones mediante filtros de destinatario.
Para crear una ABP se necesita una lista de direcciones de salas. Si su organización no tiene buzones de recursos (tales como buzones de sala o de equipamiento), se recomienda crear una lista de direcciones de salas vacía. En el siguiente ejemplo se crea una lista de direcciones de salas vacía porque no hay buzones de sala en la organización.
New-AddressList -Name AL_BlankRoom -RecipientFilter "(Alias -ne `$null) -and ((RecipientDisplayType -eq 'ConferenceRoomMailbox') -or (RecipientDisplayType -eq 'SyncedConferenceRoomMailbox'))"
Sin embargo, en este escenario, Fabrikam y Contoso tienen buzones de sala. En este ejemplo se crea una lista de salas para Fabrikam mediante un filtro de destinatarios donde CustomAttribute15 equivale a FAB.
New-AddressList -Name AL_FAB_Room -RecipientFilter "(Alias -ne `$null) -and (CustomAttribute15 -eq 'FAB') -and (RecipientDisplayType -eq 'ConferenceRoomMailbox') -or (RecipientDisplayType -eq 'SyncedConferenceRoomMailbox')"
La lista global de direcciones que se usa en una ABP debe ser un superconjunto de las listas de direcciones. No cree una LGD con menos objetos de los que existen en una o en todas las listas de direcciones en la ABP. En este ejemplo se crea la lista global de direcciones para Tailspin Toys que incluye todos los destinatarios que existen en las listas de direcciones y en la lista de direcciones de salas.
New-GlobalAddressList -Name "GAL_TAIL" -RecipientFilter "(CustomAttribute15 -eq 'TAIL')"
Para obtener más información, consulte Crear una lista global de direcciones.
Al crear la OAB, debe incluir la GAL adecuada al proporcionar el parámetro AddressLists de New- o Set-OfflineAddressBook para asegurarse de que no se pierda ninguna entrada inesperadamente. En resumen, puede personalizar el conjunto de entradas que ve un usuario o reducir el tamaño de descarga de la OAB mediante la especificación de una lista de AddressLists en AddressLists de New/Set-OfflineAddressBook. No obstante, si desea que los usuarios vean todo el conjunto de registros de la LGD en la OAB, asegúrese de que incluye la LGD en AddressLists.
En este ejemplo se crea la OAB para Fabrikam llamada OAB_FAB.
New-OfflineAddressBook -Name "OAB_FAB" -AddressLists "GAL_FAB"
Para obtener más información, consulte Crear una libreta de direcciones sin conexión.
Paso 4: Crear las ABP
Después de crear todos los objetos necesarios, entonces podrá crear la ABP. En este ejemplo se crea la ABP llamada ABP_TAIL.
New-AddressBookPolicy -Name "ABP_TAIL" -AddressLists "AL_TAIL_Users_DGs"," AL_TAIL_Contacts" -OfflineAddressBook "\OAB_TAIL" -GlobalAddressList "\GAL_TAIL" -RoomList "\AL_TAIL_Rooms"
Para obtener más información, consulte Crear una directiva de libreta de direcciones.
Paso 5: Asignar las ABP a los buzones de correo
El último paso del proceso es asignar la ABP al usuario. Las ABP se aplican cuando una aplicación de usuario se conecta al servicio de libreta de direcciones de Microsoft Exchange en el servidor de acceso de clientes. Si el usuario ya está conectado a Outlook o a Outlook Web App cuando se aplica la ABP a su cuenta, tendrá que cerrar y reiniciar la aplicación del cliente para poder ver las nuevas listas de direcciones y LGD.
En este ejemplo se asigna ABP_FAB a todos los buzones donde CustomAttribute15 equivale a "FAB".
Get-Mailbox -resultsize unlimited | where {$_.CustomAttribute15 -eq "TAIL"} | Set-Mailbox -AddressBookPolicy "ABP_TAIL"
Para obtener más información, consulte Asignar una directiva de libreta de direcciones a usuarios de correo.