Создание настраиваемой области управления для поиска In-Place обнаружения электронных данных в Exchange 2013
Применимо к: Exchange Server 2013
Пользовательская область управления позволяет определенным пользователям или группам использовать In-Place eDiscovery для поиска подмножества почтовых ящиков в организации Exchange 2013. Например, вам может потребоваться разрешить диспетчеру обнаружения выполнять поиск только в почтовых ящиках пользователей, относящихся к определенному расположению или отделу. Для этого необходимо создать настраиваемую область управления. Эта область использует фильтр получателей для управления тем, в каких почтовых ящиках можно выполнять поиск. Области фильтра получателей используют фильтры для выделения определенных получателей на основе типа или других свойств получателя.
Для In-Place обнаружения электронных данных единственным свойством в почтовом ящике пользователя, которое можно использовать для создания фильтра получателей для настраиваемой области, является членство в группе рассылки (фактическое имя свойства — MemberOfGroup). Если вы используете другие свойства, такие как CustomAttributeN, Department или PostalCode, поиск завершается ошибкой, когда он выполняется членом группы ролей, которому назначена настраиваемая область.
Дополнительные сведения об областях управления см. в разделе:
Что нужно знать перед началом работы
Предполагаемое время выполнения: 15 минут.
Как было сказано ранее, для создания настраиваемой области фильтра получателей, которая будет использоваться для электронного обнаружения данных, в качестве фильтра получателей можно использовать только членство в группе. Любые другие свойства получателя нельзя использовать для создания настраиваемой области для электронного обнаружения данных. Обратите внимание, что членство в динамической группе рассылки также не может быть использовано.
Выполните действия 1-3, чтобы позволить диспетчеру обнаружения экспортировать результаты поиска электронного обнаружения данных с использованием настраиваемой области управления.
Если диспетчеру обнаружения не требуется предварительный просмотр результатов поиска, действие 4 можно пропустить.
Если диспетчеру обнаружения не требуется копировать результаты поиска, действие 5 можно пропустить.
Действие 1. Организация пользователей в группы рассылки для электронного обнаружения данных
Для поиска в подмножестве почтовых ящиков в вашей организации или сужения области поиска исходных почтовых ящиков, в которых диспетчер обнаружения может выполнять поиск, необходимо сгруппировать подмножество почтовых ящиков в одну или несколько групп рассылки. При создании настраиваемой области управления в действии 2 эти группы рассылки используются как фильтр получателей. Это позволяет диспетчеру обнаружения выполнять поиск только в почтовых ящиков пользователей, входящих в определенную группу.
Вы можете использовать существующие группы рассылки для обнаружения электронных данных или создавать новые. Советы по созданию групп рассылки, которые можно использовать для поиска обнаружения электронных данных, см. в разделе Дополнительные сведения в конце этой статьи.
Действие 2. Создание настраиваемой области управления
Теперь вы создадите настраиваемую область управления, определяемую членством в группе рассылки (с помощью фильтра получателей MemberOfGroup ). Если эта область применяется к группе ролей, используемой для электронного обнаружения данных, члены группы ролей могут выполнять поиск в почтовых ящиков пользователей, входящих в группу рассылки, с помощью которой была создана настраиваемая область управления.
В этой процедуре в командной консоли Exchange выполняются команды для создания настраиваемой области электронного обнаружения данных с именем "Ottawa Users". В них указывается группа рассылки с именем "Ottawa Users" для фильтра получателей настраиваемой области.
Выполните эту команду, чтобы получить и сохранить свойства группы "Ottawa Users" в переменную, которая используется в следующей команде.
$DG = Get-DistributionGroup -Identity "Ottawa Users"
Выполните эту команду, чтобы создать настраиваемую область управления на основе членства в группе рассылки "Ottawa Users".
New-ManagementScope "Ottawa Users eDiscovery Scope" -RecipientRestrictionFilter "MemberOfGroup -eq '$($DG.DistinguishedName)'"
Различающееся имя группы рассылки, которое содержится в переменной $DG, используется для создания фильтра получателей для новой области управления.
Действие 3. Создание группы ролей управления
В этой процедуре вы создаете новую группу ролей управления и назначаете настраиваемую область, созданную в действии 2. Добавьте роли "Удержание по юридическим причинам" и "Поиск в почтовых ящиках", чтобы участники группы ролей могли выполнять поиск обнаружения электронных данных на месте и поместить почтовые ящики на удержание на месте или юридическое удержание. Вы также можете добавить членов в эту группу ролей, чтобы они могли выполнять поиск в почтовых ящиках членов группы рассылки, с помощью которой была создана настраиваемая область в действии 2.
В следующих примерах группа безопасности "Ottawa Users eDiscovery Managers" будет добавлена как член этой группы ролей. Для этого действия можно использовать командную консоль или центр администрирования Exchange.
Использование командной консоли для создания группы ролей управления
Выполните эту команду, чтобы создать группу ролей, использующую настраиваемую область, созданную в действии 2. Эта команда также добавляет роли "Удержание по юридическим причинам" и "Поиск в почтовых ящиках" и добавляет группу безопасности "Ottawa Users eDiscovery Managers" как члена новой группы ролей.
New-RoleGroup "Ottawa Discovery Management" -Roles "Mailbox Search","Legal Hold" -CustomRecipientWriteScope "Ottawa Users eDiscovery Scope" -Members "Ottawa Users eDiscovery Managers"
Использование центра администрирования Exchange для создания группы ролей управления
В центре администрирования EAC перейдите враздел Роли администратораразрешений> и нажмите кнопку Создать
В разделе Новая группа ролей введите следующие сведения:
Имя. Укажите описательное имя новой группы ролей. В этом примере вы используете оттавскую службу управления обнаружением.
Область записи. Выберите настраиваемую область управления, созданную на шаге 2. Эта область будет применена к новой группе ролей.
Роли. Щелкните Добавить добавьте роли "Юридический удержание " и "Поиск почтовых ящиков" в новую группу ролей.
Участники. Щелкните Добавить выберите пользователей, группу безопасности или группы ролей, которые нужно добавить в новую группу ролей. В этом примере члены группы безопасности Диспетчеры обнаружения электронных данных оттавских пользователей смогут выполнять поиск только в почтовых ящиках пользователей, которые являются членами группы рассылки оттавских пользователей .
Нажмите кнопку Сохранить, чтобы создать группу.
Вот пример того, как будет выглядеть окно Новая группа ролей после завершения операции.
(Необязательно) Действие 4. Добавление диспетчеров обнаружения как членов группы рассылки, используемой для создания настраиваемой области управления
Это действие необходимо выполнить, только чтобы разрешить диспетчеру обнаружения предварительный просмотр результатов поиска обнаружения электронных данных.
Выполните эту команду, чтобы добавить группу безопасности "Ottawa Users eDiscovery Managers" как члена группы рассылки "Ottawa Users".
Add-DistributionGroupMember -Identity "Ottawa Users" -Member "Ottawa Users eDiscovery Managers"
Вы также можете использовать EAC для добавления участников в группу рассылки. Дополнительные сведения см. в статье Создание групп рассылки и управление ими.
(Необязательно) Действие 5. Добавление почтового ящика обнаружения как члена группы рассылки, используемой для создания настраиваемой области управления
Это действие необходимо выполнить, только чтобы разрешить диспетчеру обнаружения копировать результаты поиска обнаружения электронных данных.
Выполните эту команду, чтобы добавить почтовый ящик обнаружения "Ottawa Discovery Mailbox" как член группы рассылки "Ottawa Users".
Add-DistributionGroupMember -Identity "Ottawa Users" -Member "Ottawa Discovery Mailbox"
Примечание.
Чтобы открыть почтовый ящик обнаружения и просмотреть результаты поиска, диспетчерам обнаружения должны быть назначены разрешения на полный доступ для почтового ящика обнаружения. Дополнительные сведения см. в статье Создание почтового ящика обнаружения.
Как проверить, все ли получилось?
Вот несколько способов для проверки успешной реализации настраиваемых областей управления для обнаружения электронных данных. Во время проверки убедитесь, что пользователь, выполняющий поиск с обнаружением электронных данных, входит в группу ролей, использующую настраиваемую область управления.
Создайте поиск обнаружения электронных данных и выберите группу рассылки, которая использовалась для создания настраиваемой области управления, как источник почтовых ящиков для поиска. Поиск должен быть успешно выполнен во всех почтовых ящиках.
Создайте поиск обнаружения электронных данных и выполните поиск в почтовых ящиках всех пользователей, не входящих в группу рассылки, которая использовалась для создания настраиваемой области управления. Поиск должен завершиться с ошибкой, так как диспетчер обнаружения может выполнять поиск только для пользователей, входящих в группу рассылки, которая использовалась для создания настраиваемой области управления. В этом случае будет возвращена ошибка, например "Не удается выполнить поиск имени почтового <ящика> , так как у текущего пользователя нет разрешений на доступ к почтовому ящику".
Создайте поиск обнаружения электронных данных и выполните поиск в почтовых ящиках пользователей, входящих в группу рассылки, которая использовалась для создания настраиваемой области управления. Включите в тот же поиск почтовые ящики пользователей, которые не являются членами этой группы рассылки. Поиск должен частично завершиться успешно. Поиск в почтовых ящиках членов группы рассылки, используемой для создания настраиваемой области управления, должен завершиться успешно. Поиск в почтовых ящиках пользователей, которые не входят в группу рассылки, должен завершиться ошибкой.
Дополнительная информация
Так как группы рассылки используются в этом сценарии для определения областей поиска обнаружения электронных данных, а не для доставки сообщений, учитывайте следующее при создании и настройке группы рассылки для обнаружения электронных данных.
Создавайте группы рассылки с закрытым членством, чтобы только владельцы группы могли добавлять членов в группу или удалять их. Если вы создаете группу в оболочке, используйте синтаксис
MemberJoinRestriction closed
иMemberDepartRestriction closed
.Включите модерирование группы, чтобы все сообщения, отправляемые в группу, сначала передавались модераторам, которые могут утвердить или отклонить сообщение. Если вы создаете группу в оболочке, используйте синтаксис
ModerationEnabled $true
. Если вы используете центр администрирования Exchange, модерирование можно включить после создания группы.Скройте группу рассылки из общей адресной книги организации. Используйте центр администрирования Exchange или командлет Set-DistributionGroup после создания группы. Если вы используете оболочку, используйте синтаксис
HiddenFromAddressListsEnabled $true
.В следующем примере первая команда создает группу рассылки с закрытым членством и включенным модерированием. Вторая команда скрывает группу из общей адресной книги.
New-DistributionGroup -Name "Vancouver Users eDiscovery Scope" -Alias VancouverUserseDiscovery -MemberJoinRestriction closed -MemberDepartRestriction closed -ModerationEnabled $true
Set-DistributionGroup "Vancouver Users eDiscovery Scope" -HiddenFromAddressListsEnabled $true
Дополнительные сведения о создании групп рассылки и управлении ими см. в статье Создание групп рассылки и управление ими.
Хотя в качестве фильтра получателей для настраиваемой области управления, используемой для обнаружения электронного данных, можно применять только членство в группе рассылки, другие свойства получателей можно использовать для добавления пользователей в эту группу рассылки. Вот несколько примеров использования командлетов Get-Mailbox и Get-Recipient для получения определенной группы пользователей на основе общих атрибутов пользователей или почтовых ящиков.
Get-Recipient -RecipientTypeDetails UserMailbox -ResultSize unlimited -Filter 'Department -eq "HR"'
Get-Mailbox -RecipientTypeDetails UserMailbox -ResultSize unlimited -Filter 'CustomAttribute15 -eq "VancouverSubsidiary"'
Get-Recipient -RecipientTypeDetails UserMailbox -ResultSize unlimited -Filter 'PostalCode -eq "98052"'
Get-Recipient -RecipientTypeDetails UserMailbox -ResultSize unlimited -Filter 'StateOrProvince -eq "WA"'
Get-Mailbox -RecipientTypeDetails UserMailbox -ResultSize unlimited -OrganizationalUnit "namsr01a002.sdf.exchangelabs.com/Microsoft Exchange Hosted Organizations/contoso.onmicrosoft.com"
Затем можно использовать примеры из предыдущего списка для создания переменной, применяемой с командлетом Add-DistributionGroupMember, для добавления группы пользователей в группу рассылки. В следующем примере первая команда создает переменную, содержащую все почтовые ящики пользователей, имеющие значение Vancouver для свойства Department в учетной записи пользователя. Вторая команда добавляет этих пользователей в группу рассылки "Vancouver Users".
$members = Get-Recipient -RecipientTypeDetails UserMailbox -ResultSize unlimited -Filter 'Department -eq "Vancouver"'
$members | ForEach {Add-DistributionGroupMember "Ottawa Users" -Member $_.Name}
С помощью командлета Add-RoleGroupMember можно добавить члена в существующую группу ролей, которая используется для определения областей поиска обнаружения электронных данных. Например, следующая команда добавляет пользователя admin@ottawa.contoso.com в группу ролей Оттава управления обнаружением.
Add-RoleGroupMember "Vancouver Discovery Management" -Member paralegal@vancouver.contoso.com
Вы также можете использовать EAC для добавления участников в группу ролей. Дополнительные сведения см. в разделе "Добавление участников в группу ролей" статьи Управление членами группы ролей.