Partager via

GAL 분리하기

  • Article

아래와 같이 2 회사의 사용자들이 각기 다른 스토어에 사서함을 지니고 있습니다.

clip_image002

(1) OAB를 위해 Address List 생성하기

LDAP filter 대신 OPATH filter를 사용하기 위해서 각 계정 속성에 회사 정보를 아래와 같이 명명하였습니다.

clip_image004

CompanyA와 CompanyB를 위한 각각의 주소록을 생성합니다.

clip_image006

clip_image008

GAL 생성은 GUI로 제공되지 않습니다. 아래의 Powershell 명령을 통해 직접 입력해야 합니다. 아래 명령을 살짝 기억해 주세요.

clip_image010

아래와 같이 2개의 Address List 생성을 완료합니다.

clip_image012

Outlook에서 살펴 보면 각 주소록이 보이고 정상적으로 Filter 되는 것을 확인할 수 있습니다. clip_image014

여기서 또 문제가 발생합니다. CompanyA 의 사용자들은 B회사의 Addresslist를 볼 수 없어야 하지요. 따라서 주소록을 볼 수 없도록 권한 수정이 필요합니다.

(일단 GUI로 설정하고 GAL 설정 시에 Powershell 명령을 살펴 보도록 합니다.)

clip_image016

다소 당황스럽지만 ADSI를 통해서 보면 ORG 내의 Address lists Container 아래에 주소록들이 모두 포함되어 있는 걸 확인할 수 있습니다. 생성한 A회사의 AL 에 B회사 사용자들이 주소록을 볼 수 없도록 ‘주소 목록 열기’ 권한을 ‘거부’합니다. 반대로 B회사의 AL에도 동일하게 A회사 사용자들에게 해당 권한을 거부합니다.

clip_image018

위와 같이 설정하면 A 회사 사용자가 B회사 Address List를 열면 아래와 같이 에러가 발생하겠지요.

clip_image020

자, 위와 같은 방법으로 이제 GAL을 생성해 봅니다.

(2) Global Address List 생성하기

New-GlobalAddressList –Name ‘ACompanyGAL’ –IncludedRecipients ‘AllRecipients’

-ConditionalCompany ‘A’

clip_image022

‘기본 전체 주소 목록’ 이외에 추가된 2개의 GAL을 확인할 수 있습니다.

clip_image024

clip_image026

이제 ‘기본 전체 주소 목록’을 사용자들이 볼 수 없도록 해야 추가적으로 생성한

GAL을 사용할 수 있습니다. ADSIEdit 대신에 Powershell을 통해서 Permission 조절해

보겠습니다.

Add-Adpermission –id “기본 전체 주소 목록” –User agroup@e2k7.com

– ExtendedRights Open-Address-Book -Deny

clip_image028

위와 같은 방법으로 B회사 사용자들에게도 Open-Address-Book에 대해서 Deny 권한을

주어야 합니다.

PowerShell 명령의 결과입니다. ADSIEdit로 보면, 아래와 같이 보입니다.

clip_image030

아마 위와 같이 설정하고 Profile을 설정하면 책갈피 오류와 함께 사서함 설정이 되지 않

을 수 있습니다. 생성한 GAL 들이 update 가 완료되지 않아서 발생할 수 있습니다.

아래와 같이 GAL을 수동으로 update 합니다.

clip_image032

Profile 생성이 완료되면 GAL 정보가 변경되어진 것을 확인할 수 있습니다.

clip_image034

clip_image036

그런데 OWA는 현재 문제가 있네요. 두 회사 사용자가 최근에 만들어지 B회사의 GAL을

기본적으로 불러 오네요

clip_image038

clip_image040

기본적으로 사용자 속성에 msExchQueryBaseDN 이라는 값이 있습니다. 기본 <not Set>으로 이 값이 없으면 OWA 에서 기본 GAL 을 사용하게 됩니다. 하지만 저희 시나리오에서는 Permission이 없기 때문에 최근에 생성된 GAL을 보게 되는 것으로 보입니다. 해당 값에 사용자가 보게 될 GAL의 DistinguishedName을 입력하면 OWA에서 해당 주소록을 사용하게 됩니다.

clip_image042

위와 같이 설정하면 아래와 같이 사용자가 OWA에서 참조하는 주소록이 변경됩니다.

clip_image044

(3) Offline Address Book 구성하기

이제 1에서 구성한 Address List를 통해서 Offline Address Book을 구성해야 Outlook 사용자가 오프라인 주소록을 다운로드 받을 수 있게 됩니다.

clip_image046

clip_image048

clip_image050

clip_image052

실제 추가적으로 구성한 OAB 가 정상적으로 배포되면 아래의 위치에 새로운 OAB를 위한 배포지점이 정상적으로 확인됩니다.

clip_image054

GUID 가 제대로 보이지 않을 경우 OAB를 update 합니다.

Update는 GUI와 Powershell 을 통해 가능합니다.

clip_image056

clip_image058

OAB 업데이트 후 ‘Microsoft Exchange 파일 배포’ 서비스를 재시작합니다.

clip_image060

사용자가 어떤 OAB를 사용할 것인지에 대한 설정은 기본적으로는 ‘참’으로 설정되어 있는 Default Offline Address Book을 사용합니다. 설정을 변경하려면 각 Store 별로 사용할 OAB를 수동으로 설정해 주어야 합니다.

clip_image062

Outlook 2007을 사용해서 B 사용자로 로그온하고 주소록을 다운로드함면 아래와 같이 스토어 속성에서 지정한 OAB 만 다운로드 가능한 것을 확인할 수 있습니다.

clip_image064

기존과 달리 주소록을 선택하면 기본적으로 OAB 로 설정된 주소록이 GAL 이라는 이름으로 보이네요.

clip_image066

(4) OAB – 공용폴더 배포

일단 Outlook 2007 사용자가 아닌 사용자들은 OAB를 공용폴더에서 다운로드 가능합니다.

따라서 공용폴더 스토어를 추가한 후 OAB 속성에서 ‘공용 폴더 배포 사용’을 enable 합니다.

clip_image068

clip_image070

clip_image072

Outlook 2003 클라이언트도 OAB를 정상적으로 다운로드한 것을 확인할 수 있습니다.

~~~ 끝!!!

tip: A사 혹은 B사 사용자 모두를 포함하는 GAL 생성하기

-ConditionalCompany ‘A’.,’B’

clip_image074

GUI 상에서는 handling 불가능함.

clip_image076

written by kyunghl