Общие сведения о поиске по нескольким почтовым ящикам

Применимо к: Exchange Server 2010

Последнее изменение раздела: 2010-01-20

Функция поиска в нескольких почтовых ящиках Exchange Server 2010 помогает организациям, соблюдающим требования юридического раскрытия (в рамках организационной политики, обеспечения соответствия нормативным требованиям или судебных процессов), выполнять поиск соответствующего содержимого в почтовых ящиках Exchange.

Функция поиска в нескольких почтовых ящиках использует индексы содержимого, созданные поиском Exchange. На панели управления Exchange представлен интерфейс поиска, простой для использования нетехническим персоналом, например юристами и должностными лицами, отвечающими за соблюдение нормативных требований, делопроизводителями и сотрудниками кадрового отдела. Функция управления доступом на основе ролей (RBAC) позволяет группе ролей управления Управление обнаружением делегировать задачи обнаружения нетехническому персоналу без необходимости предоставлять пользователям расширенные права, с помощью которых они могут вносить изменения в конфигурацию Exchange.

Содержание

Случаи использования поиска в нескольких почтовых ящиках

На основе поиска Exchange

Группа ролей управления обнаружением и роли управления

Почтовые ящики обнаружения

Выполнение поиска на обнаружение

Просмотр результатов поиска

Ведение журнала операций поиска на обнаружение

Юридическое удержание и раскрытие сведение

Случаи использования поиска в нескольких почтовых ящиках

Ниже приведены некоторые распространенные случаи использования поиска в нескольких почтовых ящиках.

• Юридическое раскрытие сведений   Для организаций, вовлеченных в судебный процесс, выполнение запросов на юридическое раскрытие информации, содержащейся в сообщениях, становится наиболее важной задачей. Без специального средства поиск записей сообщений в нескольких почтовых ящиках, находящихся в разных базах данных почтовых ящиков, может быть ресурсоемкой задачей, занимающей много времени. Поиск в нескольких почтовых ящиках дает пользователю возможность искать сведения в большом количестве сообщений электронной почты, хранящихся в почтовых ящиках на одном или нескольких серверах Exchange 2010 и, возможно, в разных расположениях.
• Внутреннее расследование   Функция поиска в нескольких почтовых ящиках помогает упростить выполнение запросов менеджеров или юридического отдела, подаваемых в ходе внутренних расследований.
• Внутреннее расследование   Функция поиска в нескольких почтовых ящиках помогает упростить выполнение запросов отдела кадров, необходимых в ходе стандартной процедуры мониторинга электронной почты или поиска определенных сведений.

В начало

На основе поиска Exchange

Функция поиска в нескольких почтовых ящиках использует индексы содержимого, созданные поиском Exchange. Для расширения функциональности к поиску Exchange были добавлены новые возможности, необходимые для поиска в нескольких почтовых ящиках. Благодаря единому механизму индексации содержимого для функции поиска в нескольких почтовых ящиках не требуются дополнительные ресурсы для сканирования и индексации баз данных почтовых ящиков при обработке ИТ-отделом запросов на обнаружение.

Дополнительные сведения о службе поиска Exchange см. в разделе Общие сведения о подсистеме поиска Exchange.

В функции поиска в нескольких почтовых ящиках также применяется синтаксис расширенных запросов (AQS), известный синтаксис запроса, используемый службой Windows Search и мгновенным поиском в Microsoft Outlook 2007 и более поздних версиях. Пользователи, знакомые с синтаксисом AQS, могут легко создать сложные поисковые запросы для поиска индексов содержимого.

Дополнительные сведения о синтаксисе AQS см. в статье Синтаксис расширенных запросов.

Группа ролей управления обнаружением и роли управления

Чтобы пользователи могли выполнять поиск на обнаружение, их необходимо добавить в группу ролей управления доступом на основе ролей (RBAC) Управление обнаружением. Эта группа ролей включает две роли управления: роль поиска в почтовых ящиках, которая позволяет пользователям выполнять поиск на обнаружение, и роль юридического удержания, которая позволяет пользователям включать для почтовых ящиков функцию юридического удержания. Дополнительные сведения о группе ролей RBAC Управление обнаружением см. в разделе Управление обнаружением. Дополнительные сведения об управлении доступом на основе ролей см. в разделе Общие сведения об управлении доступом на основе ролей.

По умолчанию группа ролей Управление обнаружением не имеет участников. Разрешения на выполнение задач поиска не назначены ни одному пользователю. Администраторы Exchange также по умолчанию не имеют разрешений на выполнение поиска на обнаружение. Аудит изменений в роли RBAC обеспечивает ведение соответствующих записей для отслеживания назначений группы ролей Управление обнаружением. Дополнительные сведения см. в разделе Общие сведения о ведении журнала аудита администратора.

Важно!

Для пользователей, которые не добавлены в группу ролей Управление обнаружением или которым не назначена роль поиска в почтовых ящиках, недоступен пользовательский интерфейс и командлеты поиска в нескольких почтовых ящиках на панели управления Exchange и в командной консоли Exchange соответственно.

Дополнительные сведения о добавлении пользователей в группу ролей Управление обнаружением см. в разделе Добавление пользователя в группу ролей «Управление обнаружением».

Предупреждение

Функция поиска в нескольких почтовых ящиках — это мощный инструмент, который предоставляет пользователям с соответствующими разрешениями потенциальный доступ ко всем записям системы обмена сообщениями, хранящимся в организации Exchange 2010. Очень важно вести наблюдение и контролировать действия пользователей по обнаружению, в том числе по добавлению участников в группу ролей Управление обнаружением или любую другую группу, имеющую роль управления поиском в почтовых ящиках, назначению роли управления поиском в почтовых ящиках и разрешению доступа к почтовым ящикам обнаружения.

В начало

Почтовые ящики обнаружения

При выполнении поиска на обнаружение необходимо указать целевой почтовый ящик, в котором будут храниться результаты поиска. Почтовый ящик обнаружения — это специальный почтовый ящик Exchange 2010, который предоставляет следующие возможности.

• Простой и безопасный выбор целевого почтового ящика   При создании поиска на обнаружение с помощью панели управления Exchange для хранения результатов поиска доступны только почтовые ящики обнаружения. Это исключает необходимость сортировать длинный список почтовых ящиков, доступных в организации. Также исключается вероятность выбора диспетчером обнаружения почтового ящика другого пользователя или незащищенного почтового ящика для хранения потенциально конфиденциального содержимого сообщений.
• Большая квота хранилища почтовых ящиков   Целевой почтовый ящик должен вмещать и хранить большое количество сообщений, возвращаемых при поиске на обнаружение. По умолчанию почтовые ящики обнаружения имеют квоту хранилища почтовых ящиков 50 гигабайт (ГБ). Эту квоту можно изменить в соответствии с требованиями.
• Безопасность по умолчанию   Как и другие типы почтовых ящиков, почтовый ящик обнаружения сопоставлен с учетной записью пользователя Active Directory. Однако по умолчанию эта учетная запись отключена. К почтовому ящику обнаружения имеют доступ только явно авторизованные пользователи. Участники группы ролей Управление обнаружением имеют разрешения на полный доступ к почтовому ящику обнаружения по умолчанию. Однако разрешения на доступ к дополнительным потовым ящикам обнаружения не назначаются ни для каких пользователей.
• Отключение доставки электронной почты   Несмотря на то что почтовые ящики обнаружения отображаются в списках адресов Exchange Server, пользователи не могут отправлять в них сообщения электронной почты. Доставка электронной почты в почтовые ящики обнаружения запрещена с помощью ограничений доставки. Это позволяет сохранить целостность результатов поиска.

Программа установки Exchange 2010 создает один почтовый ящик обнаружения с кратким именем Почтовый ящик поиска на обнаружение. Создать дополнительные почтовые ящики обнаружения можно с помощью командной консоли Exchange. По умолчанию дополнительные потовые ящики обнаружения не имеют назначенных разрешений на доступ к почтовым ящикам. Дополнительные сведения о создании почтового ящика обнаружения см. в разделе Создание почтового ящика обнаружения.

Функция поиска в нескольких почтовых ящиках также использует системные почтовые ящики с кратким именем SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9} для хранения метаданных поиска в нескольких почтовых ящиках. Системные почтовые ящики не отображаются в консоли управления Exchange и в списках адресов Exchange. Прежде чем удалить базу данных почтовых ящиков, в которой размещен системный почтовый ящик, используемый функцией поиска в нескольких почтовых ящиках, необходимо переместить этот почтовый ящик в другую базу данных.

В начало

Выполнение поиска на обнаружение

Поиск на обнаружение могут выполнять пользователи, которые были добавлены в группу ролей Управление обнаружением. Дополнительные сведения о группе ролей Управление обнаружением см. в подразделе Группа ролей управления обнаружением и роли управления выше в этом разделе.

Поиск на обнаружение можно выполнять, используя веб-интерфейс на панели управления Exchange, как показано на следующем рисунке. Он облегчает нетехническому персоналу (делопроизводителям, должностным лицам, отвечающим за соблюдение нормативных требований, юристам или сотрудникам отдела кадров) выполнение поиска в нескольких почтовых ящиках. Для выполнения поиска на обнаружение можно также использовать командную консоль.

Интерфейс поиска на обнаружение

При выполнении поиска в Exchange 2010 создается объект поиска. Этот объект можно использовать для запуска, остановки, изменения или удаления поиска. Элементы, возвращенные поиском на обнаружение, копируются в почтовый ящик обнаружения, выбранный в качестве целевого почтового ящика для этого поиска. Возможно параллельное выполнение нескольких поисков.

Примечание.

Поиск в нескольких почтовых ящиках является функцией сервера Exchange 2010. C помощью этой функции можно выполнять поиск только в почтовых ящиках, расположенных на сервере Exchange 2010. Функция поиска в нескольких почтовых ящиках не поддерживает поиск сообщений в формате PST. Чтобы сократить расходы на управление и юридическое раскрытие сведений, рекомендуется выделить для пользователей архивные почтовые ящики. Дополнительные сведения об архивных почтовых ящиках см. в разделе Общие сведения о личных архивах.

Следующие сведение необходимы для выполнения поиска на обнаружение.

• Ключевые слова   Для поиска содержимого сообщения можно задать ключевые слова и фразы. Также можно использовать логические операторы AND, OR и NOT. Для поиска точного совпадения фразы из нескольких слов необходимо заключить фразу в кавычки. Например, при поиске фразы "план и конкуренция" будут возвращены сообщения, содержащие точное совпадение этой фразы, тогда как при указании фразы план и конкуренция будут возвращены сообщения, содержащие слова план и конкуренция в любой части сообщения. Можно также использовать синтаксис расширенных запросов (AQS). Дополнительные сведения см. в статье Синтаксис расширенных запросов. Дополнительные сведения о расширенном поиске по ключевым словам см. в статье Расширенный поиск по ключевым словам.

  Примечание.
  Функция поиска в нескольких почтовых ящиках не поддерживает регулярные выражения.

• Отправители и получатели   Чтобы сузить поиск, можно указать отправителей или получателей сообщений. Можно использовать адреса электронной почты, краткие имена или имя домена для поиска элементов, отправленных или полученных от всех пользователей домена. Например, чтобы найти электронную почту, отправленную кем-либо из компании Contoso Ltd, в поле От на панели управления введите @contoso.com. Значение @contoso.com можно также указать в параметре Senders в командной консоли.

• Диапазон дат   По умолчанию поиск в нескольких ящиках не ограничивается диапазоном дат. Чтобы найти сообщения, отправленные в определенный период времени, можно сузить поиск, указав дату начала и окончания периода. Если не задать дату окончания, то в результатах поиска будут показываться последние результаты каждый раз, когда поиск осуществляется заново.

• Почтовые ящики   Поиск можно осуществлять во всех почтовых ящиках, расположенных на серверах почтовых ящиков Exchange 2010 в организации Exchange, или в указанных почтовых ящиках. Также можно указать группу рассылки, чтобы включить в поиск пользователей почтовых ящиков, которые входят в эту группу.

• Личный архив   Если для пользователя почтового ящика включен личный архив, то по умолчанию архивный почтовый ящик включается в поиск в нескольких почтовых ящиках. На панели управления Exchange отсутствует параметр, с помощью которого можно переопределить это поведение. Чтобы исключить архивные почтовые ящики из поиска, необходимо создать или изменить поиск в командной консоли.

• Типы сообщений   По умолчанию поиск выполняется только в сообщениях электронной почты. Тем не менее в поиск можно включить следующие типы сообщений: контакты, документы, диалоги мгновенных сообщений, журнал, собрания и заметки.

• Вложения   Функция поиска в нескольких почтовых ящиках выполняет поиск во вложениях в формате, поддерживаемом службой поиска Exchange. Поддержку дополнительных форматов файлов можно добавить, установив для необходимых типов файлов фильтры поиска (известные как iFilter) на серверах почтовых ящиков.

• Элементы, поиск в которых невозможен   Это элементы почтового ящика, которые не могут быть проиндексированы службой поиска Exchange. К причинам, по которым это невозможно, относятся: отсутствие установленного фильтра для вложенных файлов, ошибка фильтра и зашифрованные сообщения. При создании поиска на обнаружение элементы, поиск в которых невозможен, можно включить в результаты поиска.

• Списки проверенных файлов   Определенные типы файлов не содержат пригодные для индексации данные и поэтому не индексируются службой поиска Exchange. Эти типы файлов добавляются в список проверенных файлов, путем создания в реестре нулевого значения фильтра. Программа установки Exchange создает нулевое значение фильтра в реестре для нескольких типов файлов. Элементы почтового ящика, содержащие эти типы файлов, не возвращаются в списке элементов, поиск в которых не выполняется. Список фильтров поиска по умолчанию и записей нулевой фильтрации по умолчанию см. в разделе Фильтры по умолчанию для подсистемы поиска Exchange.

• Зашифрованные элементы   Поскольку сообщения с шифрованием S/MIME не индексируются службой поиска Exchange, то при поиске в нескольких почтовых ящиках поиск этих сообщений не выполняется. Если выбран параметр включения в результаты поиска элементов, поиск в которых невозможен, сообщения с шифрованием S/MIME возвращаются как элементы, поиск в которых не выполняется.

• Элементы с защитой IRM   Сообщения, защищенные службой управления правами на доступ к данным (IRM), индексируются службой поиска Exchange и включаются в результаты поиска на обнаружение. Сообщения должны быть защищены службой управления правами Active Directory (AD RMS) сервера, расположенного в том же лесу Active Directory, что и сервер почтовых ящиков Exchange 2010. Дополнительные сведения о службе IRM см. в разделе Защита прав.

  Важно!

  Если службе поиска Exchange не удалось проиндексировать сообщение с защитой IRM, по причине ошибки расшифровки или отключенной службы IRM, то защищенное сообщение не добавляется в список элементов, поиск в которых не выполняется. Если выбран параметр включения в результаты поиска элементов, поиск в которых невозможен, результаты поиска могут не содержать защищенные сообщения, расшифровать которые не удалось.
  Чтобы включить сообщения с защитой IRM в поиск, можно создать другой поиск на обнаружение, результаты которого будут содержать сообщения с вложениями в формате RPMSG. Для поиска всех защищенных сообщений можно использовать строку поискового запроса attachment:rpmsg. Это позволит найти все сообщения с защитой IRM в почтовых ящиках, в которых выполняется поиск, независимо от наличия индекса. Однако это может привести к дублированию некоторых результатов поиска в случаях, когда первый поиск возвращает сообщения, соответствующие заданным критериям, включая защищенные сообщения с успешно выполненной индексацией. При этом защищенные сообщения, которые не были индексированы, не возвращаются. Результаты второго поиска всех защищенных сообщений также содержат защищенные сообщения, успешно индексированные и возвращенные при первом поиске. Кроме того, защищенные сообщения, возвращенные в результатах второго поиска, могут не соответствовать критериям поиска, например ключевым словам, заданным для первого поиска.

Дополнительные сведения о выполнении поиска на обнаружение см. в разделе Создание поиска методом обнаружения.

В начало

Просмотр результатов поиска

Результаты поиска копируются в почтовый ящик обнаружения, выбранный в качестве целевого почтового ящика для этого поиска. Если используется целевой почтовый ящик, который не является почтовым ящиком обнаружения по умолчанию, авторизованным пользователям необходимо назначить разрешения на доступ к этому почтовому ящику. Авторизованные пользователи могут получить доступ к почтовому ящику с помощью приложения Outlook Web App или Outlook.

Дополнительные сведения о назначении пользователю разрешений на полный доступ к почтовому ящику см. в разделе Управление разрешениями «Полный доступ».

В целевом почтовом ящике создается новая папка с именем поиска. Для каждого почтового ящика, в котором выполняется поиск, создается вложенная папка для хранения сообщений, найденных в этом почтовом ящике. Имя вложенной папки состоит из краткого имени пользователя почтового ящика, даты и времени создания поиска. Сообщения копируются в папку, имя которой совпадает с именем их расположения в почтовом ящике. Например, если поиск имеет имя Discovery-ProjectContoso, и возвращается сообщение, расположенное в папке «Входящие» в основном почтовом ящике пользователя Павел Шевелев, иерархия папок, созданных в почтовом ящике обнаружения выглядит следующим образом Discovery-ProjectContoso -> Павел Шевелев-4/9/2009 15:57:10 -> Основной почтовый ящик > Входящие. Все флаги сообщений, включая состояние прочитано/непрочитано и к исполнению, сохраняются.

В начало

Ведение журнала операций поиска на обнаружение

Для операций поиска на обнаружение доступны два типа ведения журнала.

• Обычное ведение журнала   Обычное ведение журнала включено по умолчанию для всех операций поиска в почтовых ящиках. В нем регистрируются сведения о поиске и выполнившем его пользователе. Сведения, собираемые при простом ведении журнала, включаются в текст сообщения электронной почты, которое отправляется в почтовый ящик, где хранятся результаты поиска. Это сообщение находится в папке, созданной для хранения результатов поиска.
• Полное ведение журнала   При полном ведении журнала в нем регистрируются сведения о всех сообщениях, возвращенных в поиске. Эти сведения содержатся в CSV-файле, который вкладывается в сообщение электронной почты, содержащее сведения простого ведения журнала. Для имени CSV-файла используется имя поиска. Эти сведения могут потребоваться для делопроизводства или обеспечения соответствия требованиям. Чтобы включить полное ведение журнала, выберите в консоли управления Включить полное ведение журнала или укажите уровень ведения журнала в командной консоли с помощью параметра LoggingLevel.

Примечание.
Ведение журнала можно отключить при создании или изменении поиска в командной консоли.

Дополнительные сведения см. в статье Ведение журнала поиска в нескольких почтовых ящиках.

В начало

Юридическое удержание и раскрытие сведение

При выполнении запросов на раскрытие сведений может потребоваться сохранять содержимое почтовых ящиков до завершения судебного процесса. Для этого необходимо, чтобы сохранялись как удаленные, так и измененные пользователем сообщения. В сервере Exchange 2010 это достигается с помощью папки «Элементы для восстановления».

После помещения почтового ящика на юридическое удержание сообщения и другие элементы, удаленные пользователем, а также все изменения, внесенные в элементы почтового ящика, сохраняются в папке «Элементы для восстановления». Если возраст удаленных элементов превышает срок их восстановления, настроенный для базы данных или пользователя почтовых ящиков, они становятся недоступны для пользователя, но по прежнему хранятся в папке «Элементы для восстановления». Это позволяет возвращать удаленные элементы и все изменения в элементах почтовых ящиков в результатах поиска на обнаружение.

Дополнительные сведения о юридическом удержании см. в разделе Общие сведения о хранении юридической информации. Дополнительные сведения о помещении почтового ящика на юридическое удержание см. в разделе Включение режима хранения юридической информации для почтового ящика.

Дополнительные сведения о восстанавливаемых элементах см. в разделе Understanding Recoverable Items.

В начало