Compartilhar via

Noções Básicas sobre Políticas de Catálogo de Endereços

  • Artigo

 

Aplica-se a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Tópico modificado em: 2016-11-28

Segmentação na GAL (lista de endereços global) (também conhecida como segregação GAL) é o processo pelo qual administradores podem segmentar usuários em grupos específicos para fornecer visualizações personalizadas da GAL MicrosoftExchange Server 2007 e anteriores, segmentar a GAL era complicado, exigindo usar um DN Base de consulta (que atuava como uma raiz para pesquisas de diretório) ou listas de controle de acesso (ACLs) para permitir ou negar acesso a cada lista de endereços. Para saber mais sobre como configurar a segmentação da GAL no Exchange 2007, consulte Configurando Organizações Virtuais e Segregação de Listas de Endereços no Exchange 2007.

Para simplificar o processo, o MicrosoftExchange Server 2010 Service Pack 2 (SP2) apresenta políticas de catálogo de endereços (ABPs). Ao criar uma ABP, atribua uma GAL, um OAB (catálogo de endereços offline), uma lista de salas e uma ou mais listas de endereços para a política. Você pode então atribuir a ABP para usuários de caixa de correio, fornecendo acesso a uma GAL personalizada no Outlook e Outlook Web App. O objetivo é fornecer um mecanismo mais simples para realizar segmentação GAL para as organizações locais que exigem várias GALs.

Dica

ABPs foram planejadas para otimizar a GAL para cada grupo de usuários, não para tornar impossível para que eles vejam um ao outro ou para resolver outros usuários em sua organização. ABPs criam apenas uma separação virtual dos usuários, não uma separação judicial.

Importante

ABPs não estão disponíveis no Office 365. Como resultado, se você está em uma implantação híbrida, o catálogo de endereços inteiro será visível para seus usuários com caixas de correio baseadas em nuvem.

Como funcionam ABPs

ABPs contêm as listas a seguir:

  • Uma GAL

  • Um OAB

  • Lista de uma sala (para fins de reserva)

  • Uma ou mais listas de endereços

Na figura a seguir, a Política de Catálogo de Endereço A consiste em um subconjunto de vários objetos de endereços que existem na organização (mostrado na metade inferior da figura). O escopo resultante de uma ABP é igual ao da GAL contido no política, neste caso GAL1. Quando a ABP é criada e atribuída a um usuário, os objetos de endereços na ABP se tornam o escopo dos objetos que o usuário poderá visualizar.

Você pode usar os métodos a seguir para atribuir ABPs aos usuários de caixas de correio individuais:

Caixa de correio nova ou existente? Shell Console de Gerenciamento do Exchange

Novo

New-Mailbox cmdlet com o parâmetro AddressBookPolicy

Configurações de caixa de correio guia do Assistente de nova caixa de correio

Existentes

Set-Mailbox cmdlet com o parâmetro AddressBookPolicy

Configurações de caixa de correio guia na página de propriedades de caixa de correio

ABPs entram em vigor quando um aplicativo cliente de um usuário se conecta ao serviço do Catálogo de Endereços do Microsoft Exchange no servidor de Acesso para Cliente. Se você alterar a ABP, a ABP atualizada não terá efeito até que o usuário reinicie o OutlookOutlook Web Access, ou até você reiniciar o serviço do Catálogo de Endereços do Microsoft Exchange. Para mais informações, consulte Noções Básicas Sobre o Serviço de Catálogo de Endereços.

Entourage, Outlook para Mac e ABPs

ABPs não funcionarão para usuários do Entourage ou Outlook para usuários de Mac conectados à rede corporativa. Quando dentro da rede corporativa, o Entourage e o Outlook para clientes Mac se conectam diretamente ao servidor de catálogo global e consultam o Active Directory diretamente em vez de usar o serviço o Catálogo de Endereços do Microsoft Exchange. No entanto, os clientes de Outlook para Mac 2011 que se conectam pela internet podem usar um OAB ou os Serviços Web do Exchange (EWS). Como resultado, esses clientes podem visualizar a GAL baseados na ABP atribuída. Para saber mais sobre como administrar o Outlook para Mac 2011, consulte Planejamento para o Outlook para Mac 2011

Implantação de ABPs

Esta seção fornece informações sobre implantação de ABPs na sua organização, incluindo práticas recomendadas, cenários e etapas gerais. Para revisar todas as tarefas de gerenciamento de ABP, consulte Gerenciando Políticas de Catálogo de Endereços.

Considerações e práticas recomendadas

Considere o seguinte ao configurar ABPs em sua organização:

  • Para ABPs funcionar corretamente, a caixa de correio do usuário ao qual você aplicou a ABP deve estar no servidor MicrosoftExchange Server 2010 SP2.

  • Não execute a função de servidor Acesso para Cliente no servidor de catálogo global. Esses resultados serão usados noActive Directory para NSPI (interface de provedor de serviço de nomes) em vez do serviço do Catálogo de Endereços do Microsoft Exchange.

  • Não é possível usar catálogos de endereços hierárquicos (HABs) e ABPs ao mesmo tempo. Para saber mais sobre HABs, consulte Entendendo os catálogos de endereços hierárquicos.

  • Qualquer usuário atribuído a uma ABP deve existir na sua própria GAL.

  • Se você permitir que aplicativos cliente acessem o Active Directory diretamente por meio de LDAP, eles irão ignorar a lógica construída nas ABPs. Uma vez que o Outlook 2011 e o Entourage 2008 usam consultas de LDAP diretas para acessar oActive Directory, esses aplicativos cliente não funcionarão adequadamente com as ABPs se o controlador de domínio ou o servidor de catálogo global for especificado ou fornecido a eles pelo serviço de Descoberta Automática. O Outlook 2011 pode utilizar o EWS ou o OAB local para acessar as informações do diretório. No entanto, se o Outlook 2011 puder acessar diretamente um serviço de LDAP, ele tentará fazer isso.

  • A GAL usada em uma ABP deve, no mínimo, conter todas as listas de endereços, incluindo lista de endereços de salas, definidas e especificadas em uma ABP. Não crie uma GAL que contenha menos objetos do que qualquer das listas de endereços na mesma ABP.

  • Recomendamos a criação de grupos de distribuição que não ultrapassam os limites da organização virtual. Criar grupos de distribuição que contenham membros de várias organizações virtuais resulta nos seguintes problemas:

    • Se os membros do grupo solicitarem a entrega ou confirmações de leitura ao enviar email para o grupo de distribuição, eles poderão ver os endereços de email dos membros do grupo em outras organizações virtuais

    • Se uma mensagem criptografada for enviada para o grupo de distribuição e alguns membros do grupo não possuírem identificações digitais válidas, o remetente receberá uma mensagem de aviso que inclui o número total de membros que não têm identificações válidas e uma lista de seus endereços de email. No entanto, se alguns desses membros sem identificações digitais válidas estiverem em uma organização diferente do remetente, a mensagem de aviso irá incluir a contagem correta, mas não incluirá os endereços de email dos membros da outra organização. Como resultado, a contagem total não irá corresponder à lista de endereços dos membros.

      Por exemplo, suponha que um grupo de distribuição contenha no total cinco membros de duas organizações, a Agência A e a Agência B. Três membros do grupo são da Agência A e um dos membros tem uma identificação digital inválida. Os outros dois membros são da Agência B e ambos possuem identificações digitais inválidas. Se um membro da Agência A enviar uma mensagem criptografada para o grupo de distribuição, esse membro receberá uma mensagem de aviso informando que há um total de três destinatários sem identificações digitais válidas. No entanto, apenas o endereço de email para o destinatário da Agência A será listado na mensagem de aviso.

    • ABPs não se aplicam aos cmdlets Get-Group. Portanto, qualquer usuário ou processo que esteja habilitado para executar Get-Group verá todos os membros de qualquer grupo a que ele tenha acesso.

      Recomendamos que você modifique as configurações de gerenciamento do grupo do Painel de Controle do Exchange (ECP) para que os usuários não possam usar ECP para gerenciar grupos. Para impedir que usuários que usam ECP gerenciem grupos, exclua os usuários da função de RBAC MyDistributionGroupMembership. Para obter detalhes, consulte Função MyDistributionGroupMembership e Desativar a capacidade do usuário para criar grupos de distribuição.

    • Se você permitir que usuários usem o Outlook ou Outlook Web App para gerenciar grupos, os proprietários do grupo devem ter plena visibilidade da lista de membros do grupo.

  • Todos as ABPs devem conter uma lista de endereços de sala. No entanto, se sua organização não usa listas de endereços de salas, é possível criar uma lista de endereços de salas padrão vazia.

  • Implantar ABPs não impede que usuários em uma organização virtual enviem email para usuários em outra organização virtual. Se deseja impedir usuários de enviarem email entre organizações, recomendamos que crie uma regra de transporte. Por exemplo, para criar uma regra de transporte que impeça usuários Contoso de receber mensagens dos usuários Fabrikam, mas ainda permitir que a equipe de liderança sênior da Fabrikam envie mensagens para usuários da Contoso, execute o seguinte comando no Shell:

    New-TransportRule -Name "StopFabrikamtoContosoMail" -FromMemberOf "AllFabrikamEmployees" -SentToMemberOf "AllContosoEmployees" -DeleteMessage -ExceptIfFrom seniorleadership@fabrikam.com

    Para mais informações, consulte Criar uma Regra de Transporte.

  • Se desejar impor a ABP no cliente Lync, você poderá definir o atributo msRTCSIP-GroupingID em objetos de usuários específicos. Para obter detalhes, consulte o tópico PartitionByOU substituído por msRTCSIP-GroupingID.

Cenários de implantação

Os três cenários a seguir descrevem possíveis soluções de implantação para três diferentes tipos de organizações. Embora haja muitos cenários mais, os mais comuns são abordados aqui. As listas de endereços e GALs nesses cenários foram criadas com base em filtros, como atributos personalizados, que agrupam objetos logicamente.

Cenário 1: Duas empresas separadas - uma organização do Exchange

Este cenário se aplica a empresas que possuem agências, divisões ou departamentos separados que são:

  • Dentro da mesma organização do Exchange.

  • Não compartilhe os funcionários.

  • Não compartilhe uma Cadeia de geração de relatórios comuns.

Além disso, as agências, divisões ou departamentos não possuem nenhuma segurança especial ou problemas de privacidade.

Neste cenário, duas ABPs são criadas com as seguintes configurações:

  • Funcionários que visualizam a GAL ou membro do grupo de distribuição podem ver somente destinatários dentro da sua empresa.

  • Não há nenhum grupo de distribuição que se estende entre as duas empresas.

As tabela a seguir lista as listas de endereços, GALs, listas de salas e OABs que estão incluídos nas ABPs para Contoso e Humongous Insurance. Os componentes da ABP foram criados utilizando o parâmetro CustomAttribute15 para agrupar os objetos. Como as duas empresas são separadas sem qualquer interação entre si, não há nenhuma lista de endereços em comum.

Componente ABP

Contoso

Humongous Insurance

Listas de endereços

AL_CON_Groups

AL_CON_Users_DGs

AL_CON_Contacts

AL_HI_Groups

AL_HI_Users_DGs

AL_HI_Contacts

GAL

GAL_CON

GAL_HI

Lista de salas

AL_CON_Rooms

AL_HI_Rooms

OAB

OAB_CON

OAB_HI

Cenário 2: Duas empresas compartilhando um CEO

Esse cenário é aplicável às sociedades que estão:

  • Dentro da mesma organização do Exchange.

  • Compartilhe o mesmo CEO.

  • Não compartilhe os funcionários.

Neste cenário, três ABPs são criadas com as seguintes configurações:

  • Funcionários que visualizam a GAL ou membro do grupo de distribuição podem ver somente destinatários dentro da sua empresa.

  • Em cada empresa, há um grupo de distribuição chamado SeniorLeaders, que inclui os líderes sênior da empresa e compartilham o CEO.

  • Funcionários que visualizam o membro do grupo do CEO podem ver somente grupos dentro da sua empresa.

  • Três ABPs são criadas: Fabrikam, a Tailspin Toys e CEO.

Componente ABP

Fabrikam

Tailspin Toys

CEO

Listas de endereços

AL_FAB_Users_DGs

AL_FAB_Contacts

AL_TAIL_Users_DGs

AL_TAIL_Contacts

AL_FAB_Users_DGs

AL_FAB_Contacts

AL_TAIL_Users_DGs

AL_TAIL_Contacts

GAL

GAL_FAB

GAL_TAIL

GAL padrão

Lista de salas

AL_FAB_Rooms

AL_TAIL_Rooms

Padrão todos os quartos

OAB

OAB_FAB

OAB_TAIL

OAB Padrão

Quando o CEO é adicionado aos grupos de distribuição em cada empresa e entra no escopo de cada ABP da empresa, o CEO se torna visível para cada empresa. O CEO é visível nas GALs da Fabrikam e Tailspin Toys e pode criar grupos de distribuição que abrangem ambas as empresas. No entanto, os membros do grupo de distribuição podem visualizar apenas os membros que estão dentro de sua própria empresa.

Cenário 3: Educação

Este cenário se aplica a escolas e universidades onde a divisão de salas de aula é necessária para garantir a privacidade dos estudantes.

Nesse cenário, as ABPs são criadas com as seguintes configurações:

  • Os estudantes podem apenas ver outros estudantes de sua sala de aula, seus professores e o diretor da escola.

  • Os professores podem apenas ver os estudantes de sua sala de aula, todos os professores e o diretor da escola.

  • Grupos de distribuição são criados para pais do cada sala de aula e os professores.

   

Students_ClassA

Teachers_ClassA

Diretor da escola

Listas de Endereços

AL_ClassA

AL_Principal

AL_ClassA

AL_AllTeachers

AL_AllGroups

AL_Principal

AL_ClassA

AL_ClassB

AL_AllTeachers

AL_AllStudents

AL_AllGroups

Lista de endereços global

GAL_StudentsClassA

GAL_TeachersClassA

GAL_Everyone

Lista de endereços de sala

AL_BlankRoom

AL_BlankRoom

Padrão todos os quartos

Catálogo de endereços offline

OAB_StudentsClassA

OAB_TeachersClassA

OAB Padrão

Etapas da implantação geral

Esta seção fornece as etapas gerais para a implantação das ABPs em sua organização, incluindo como migrar a segmentação da lista de endereços do Exchange 2007.

Migrando de segmentação da lista de endereços para ABPs

Se você utiliza atualmente a segmentação de lista de endereços do Exchange 2007 (para instruções no informe oficial Configurando Organizações Virtuais e Segregação de Listas de Endereços no Exchange 2007) e deseja migrar para ABPs, siga as etapas descritas no Migrar Políticas de Catálogo de Endereços do Exchange 2010 a partir da Segregação de Listas de Endereços do Exchange 2007. Este procedimento exige algum tempo de inatividade para a sua organização para garantir a conformidade do plano.

Nova implantação de ABPs

Se você não utiliza a segmentação de lista de endereços do Exchange 2007, siga as etapas listadas nesta seção para implantar ABPs em sua organização.

As etapas a seguir se aplicam a Cenário 2: Duas empresas compartilhando um CEO. Neste cenário, Fabrikam e Tailspin Toys são empresas separadas que compartilham um CEO e equipe de liderança sênior. Esse cenário requer três ABPs:

  • ABP_FAB

  • ABP_TAIL

  • ABP_CEO

Etapa 1: Dividir suas organizações virtuais

É necessário desenvolver uma maneira de dividir a sua organização em organizações virtuais. Ao fazer esta divisão, recomendamos utilizar as propriedades de Atributos Personalizados nas caixas de correio, contatos e grupos em vez de atributos condicionais predefinidos (como Empresa, Departamento ou Estado/Província). Usar atributos personalizados em vez de atributos predefinidos inclui os seguintes benefícios:

  • Nem todos os tipos de destinatários têm atributos condicionais predefinidos no Active Directory. Por Exemplo, os objetos Active DirectoryGrupo de Distribuição e Grupo Dinâmico de Distribuição do Active Directory não oferecem suporte aos atributos Empresa, Departamento ou Estado/Província.

  • Nem todos os atributos condicionais predefinidos são expostos nos cmdlets para alguns destinatários. Por exemplo, os parâmetros Company, Department e StateOrProvince não estão disponíveis nos cmdlets para usuários de correio, contatos, grupos de distribuição e pastas públicas habilitadas para email.

  • Vários cmdlets são necessários para segmentar destinatários quando você utiliza atributos condicionas predefinidos. Por exemplo, para definir os parâmetros Company, Department ou StateOrProvince para uma caixa de correio de usuário, você deve executar o cmdlet Set-User e depois os cmdlets New-Mailbox ou Set-Mailbox.

    No entanto, os parâmetros CustomAttribute são expostos nos cmdlets Set-* para cada tipo de destinatário, assim, não há necessidade de executar também o cmdlet Set-User.

  • Propriedades de Atributos Personalizados são explicitamente reservadas para personalizar a organização e são totalmente controladas pelos administradores da organização.

Para saber mais sobre atributos personalizados, consulte Noções básicas sobre os atributos personalizados.

Outra prática recomendada a se considerar ao dividir a sua organização é a utilização de identificadores de empresa nos nomes dos grupos de distribuição e grupos dinâmicos de distribuição. Um método para fazer isso é usar as políticas de nomes de grupo. Essas políticas permitem determinar que um prefixo, um sufixo ou ambos sejam aplicados aos nomes de grupo de distribuição. Isso é útil ao dividir sua organização porque você pode usar essas políticas para especificar um sufixo ou prefixo baseado em atributos do usuário, como o criador do grupo de distribuição da Empresa, Estado/Província, Departamento e propriedades de atributo personalizado. Isto é especialmente importante se você permitir que usuários criem seus próprios grupos de distribuição. Para mais informações, consulte Criar uma Diretiva de Nomenclatura de Grupo de Distribuição.

Dica

Como as políticas de nomes de grupo não se aplicam a grupos dinâmicos de distribuição, você deve aplicar manualmente uma política de nome.

Etapa 2: Criar as listas de endereços, lista de salas, GALs e OABs

Ao criar listas de endereços e GALs, não use os parâmetros IncludedRecipient e ConditionalX, como ConditionalCompany e ConditionalCustomAttribute5. Em vez disso, recomendamos que você use filtros de destinatários. Para saber mais sobre filtros de destinatário, consulte Criando filtros em comandos do destinatário.

Dica

Todo o procedimento nesta seção usa comandos Shell, porque você não pode usar o EMC para criar filtros de destinatários.

Criar as listas de endereços

Ao criar a ABP, você incluirá várias listas de endereços baseadas no que você deseja que seus usuários vejam nas listas no Outlook ou Outlook Web App.. Esse cenário requer quatro listas de endereços:

  • AL_FAB_Users_DGs

  • AL_FAB_Contacts

  • AL_TAIL_Users_DGs

  • AL_TAIL_Contacts

Este exemplo cria a lista de endereços AL_TAIL_Users_DGs. A lista de endereços contém todos os usuários e grupos de distribuição em que CustomAttribute15 é igual a TAIL.

New-AddressList -Name "AL_TAIL_Users_DGs" -RecipientFilter {((RecipientType -eq 'UserMailbox') -or (RecipientType -eq "MailUniversalDistributionGroup") -or (RecipientType -eq "DynamicDistributionGroup") -and (CustomAttribute15 -eq "TAIL"))}

O comando acima deve ser executado para criar as listas de endereços restantes: AL_FAB_Users_DGs, AL_FAB_Contacts e AL_TAIL_Contacts.

Para informações detalhadas de sintaxes e de parâmetros, consulte New-AddressList.

Para saber mais sobre como criar listas de endereços utilizando filtros de destinatários, consulte Criar uma lista de endereços usando filtros de destinatário.

Criar as listas de sala

Esse cenário requer três listas de quarto:

  • AL_FAB_Rooms

  • AL_TAIL_Rooms

  • Todas as salas padrão (criado por padrão)

ABPs devem conter uma lista de sala. Se sua organização não possui caixas de correio de recurso (como caixas de correio de salas ou equipamentos), recomendamos a criação de uma lista de salas em branco. O exemplo a seguir cria a lista de salas em branco AL_BlankRoom.

New-AddressList -Name AL_BlankRoom -RecipientFilter ((Alias -ne $null) -and ((RecipientDisplayType -eq 'ConferenceRoomMailbox') -or (RecipientDisplayType -eq 'SyncedConferenceRoomMailbox')))

No entanto, neste cenário, Fabrikam e Tailspin Toys possuem caixas de correio de sala. Este exemplo cria a lista de salas para a Tailspin Toys usando um filtro de destinatário em que CustomAttribute15 é igual a TAIL.

New-AddressList -Name AL_TAIL_Rooms -RecipientFilter {(Alias -ne $null) -and (CustomAttribute15 -eq "TAIL")-and (RecipientDisplayType -eq 'ConferenceRoomMailbox') -or (RecipientDisplayType -eq 'SyncedConferenceRoomMailbox')}

O comando acima deve ser executado para criar as listas de salas para Fabrikam (AL_FAB_Rooms).

Para informações detalhadas de sintaxes e de parâmetros, consulte New-AddressList.

Criar as GALs

Esse cenário requer três GALs:

  • GAL_FAB

  • GAL_TAIL

  • GAL padrão (criado por padrão)

A GAL usada em uma ABP deve ser um super conjunto de listas de endereços. Não crie uma GAL com menos objetos do que existe em qualquer ou todas as listas de endereços na ABP.

Este exemplo cria a GAL para a Tailspin Toys. Ela inclui todos os destinatários que existem nas listas de endereços e de salas.

New-GlobalAddressList -Name "GAL_TAIL" -RecipientFilter {(CustomAttribute15 -eq "TAIL")}

O comando acima deve ser executado para criar a GAL para Fabrikam (GAL_FAB).

Para informações detalhadas de sintaxes e de parâmetros, consulte New-GlobalAddressList.

Criar os OABs

Esse cenário requer três GALs:

  • OAB_FAB

  • OAB_TAIL

  • Padrão OAB (criado por padrão)

Ao utilizar o New-OfflineAddressBook ou Set-OfflineAddressBook para criar o OAB, inclua as listas de endereços ou GAL apropriadas no parâmetro AddressLists para garantir que nenhuma entrada seja perdida inesperadamente. Por exemplo, se você deseja personalizar o conjunto de listas que um usuário verá ao visualizar o OAB ou simplesmente reduzir tamanho do download do OAB, é possível utilizar o parâmetro AddressLists para especificar as listas de endereços disponíveis no OAB. No entanto, se você deseja que os usuários vejam todo o conjunto de entradas da GAL no OAB, verifique se incluiu a GAL no parâmetro AddressLists.

Este exemplo cria o OAB para a Tailspin Toys. A GAL inteira (GAL_TAIL) está incluída no OAB.

New-OfflineAddressBook -Name "OAB_TAIL" -AddressLists "GAL_TAIL"

O comando acima deve ser executado para criar o OAB para Fabrikam (OAB_FAB).

Para informações detalhadas de sintaxes e de parâmetros, consulte New-OfflineAddressBook.

Etapa 3: Criar as ABPs

Depois que todas as listas necessárias forem criadas, você pode criar as ABPs.

Este exemplo cria a ABP para a Tailspin Toys.

New-AddressBookPolicy -Name "ABP_TAIL" -AddressLists "AL_TAIL_Users_DGs","AL_TAIL_Contacts" -OfflineAddressBook "\OAB_TAIL" -GlobalAddressList "\GAL_TAIL" -RoomList "\AL_TAIL_Rooms"

O comando acima deve ser executado para criar as ABPs para Fabrikam (ABP_FAB) e para o CEO da organização (ABP_CEO).

Para informações detalhadas de sintaxes e de parâmetros, consulte New-AddressBookPolicy.

Etapa 4: Atribuir as ABPs a caixas de correio

Atribuir as ABPs aos usuários é o último passo no processo. ABPs entram em vigor quando um aplicativo do usuário se conecta ao serviço do Catálogo de Endereços do Microsoft Exchange no servidor de Acesso para Cliente. Se o usuário já estiver conectado ao Outlook ou ao Outlook Web App, quando a ABP for aplicada à conta dele, ele precisará fechar e reiniciar o aplicativo cliente, antes de poder ver suas novas listas de endereços e GAL.

Este exemplo atribui a política de catálogo de endereços ABP_TAIL a todas as caixas de correios em que CustomAttribute15 é igual a TAIL.

Get-Mailbox -resultsize unlimited | where {$_.CustomAttribute15 -eq "TAIL"}| Set-Mailbox -AddressBookPolicy "ABP_TAIL"

Para mais detalhes, consulte Atribuir uma Política de Catálogo de Endereços a um Usuário de Email.

 © 2010 Microsoft Corporation. Todos os direitos reservados.