在 Exchange 2013 中管理已启用邮件的安全组
适用于:Exchange Server 2013
启用邮件的安全组不仅可用于分发邮件,还可用于授予对 Active Directory 中资源的访问权限。 有关详细信息,请参阅收件人。
开始前,有必要了解什么?
估计完成时间:2 至 5 分钟。
您必须先获得权限,然后才能执行此过程或多个过程。 若要查看所需的权限,请参阅 收件人权限主题中的"通讯组"条目。
有关可能适用于本主题中的过程的键盘快捷方式的信息,请参阅 Exchange 2013 中 Exchange 管理中心的键盘快捷方式。
提示
是否有任何疑问? 在 Exchange 论坛中寻求帮助。 访问 Exchange Server 的论坛。
创建已启用邮件的安全组
使用 EAC 创建安全组
在 EAC 中,导航到“收件人”>“组”。
单击“ 新建
>安全组。在“新建安全组”页上,填写下列字段:
* 显示名称 使用此框可键入显示名称。 此名称将出现在共享的通讯簿中、"收件人:"行中(电子邮件发送到该组时),以及 EAC 的"组"列表中。 显示名称是必需的,并且应当是用户友好的,以便用户可以识别它。 它在林中必须也是唯一的。
*别名 使用此框可键入安全组的别名。 别名的长度不能超过 64 个字符,并且在林中必须是唯一的。 当用户在电子邮件的"收件人:"行中键入别名时,别名会解析为相应组的显示名称。
描述 使用此框描述安全组,以便人们知道组的用途。
组织单位 可以选择组织单位 (OU) ,而不是默认 ((收件人范围) )。 如果将收件人作用域设置为林,则默认值设置为 Active Directory 域中的"用户"容器,该域包含运行 EAC 的计算机。 如果将收件人作用域设置为特定域,则将默认选择该域中的"用户"容器。 如果将收件人范围设置为某个特定 OU,则默认情况下,将选择该 OU。
若要选择其他 OU,请单击“浏览”。 此时,对话框中会显示林中指定范围内的所有 OU。 选择所需的 OU,然后单击“确定”。
*业主 默认情况下,创建组的人员是所有者。 所有组都必须至少有一个所有者。 可以通过单击“ 添加”来添加所有者。
成员 使用此部分可以添加成员,并指定用户加入或离开组是否需要审批。
组所有者不必是组的成员。 使用将组所有者添加为成员可以将所有者添加为成员,或删除所有者的成员身份。
若要向组添加成员,请单击“添加
添加完成员后,点击确定,返回到新建安全组页面。如果你希望组所有者接收用户发出的加入组请求,请选中“需要所有者审批”复选框。 选中此选项后,只有组所有者才能删除成员。
完成后,请单击“保存”以创建安全组。
注意
默认情况下,所有启用邮件的新安全组都要求对所有发件人进行身份验证。 这样一来,可防止外部发件人将邮件发送到启用邮件的安全组。 若要将启用邮件的安全组配置为接受所有收件人发送的邮件,必须修改相应组的邮件传递限制设置。
使用命令行管理程序创建安全组
此示例创建一个别名为 fsadmin 的 File Server Managers 安全组。 此安全组是在默认 OU 中创建,经组所有者批准后,任何人都可以加入此组。
New-DistributionGroup -Name "File Server Managers" -Alias fsadmin -Type security
有关使用命令行管理程序创建已启用邮件的安全组的详细信息,请参阅 New-DistributionGroup。
如何知道操作成功?
要验证是否成功创建了已启用邮件的安全组,请执行以下操作之一:
在 EAC 中,导航到“收件人”>“组”。 此时,新建的启用邮件的安全组会显示在组列表中。 在“组类型”下,组类型是“安全组”。
在命令行管理程序中,运行以下命令可显示有关新的已启用邮件的安全组的信息。
Get-DistributionGroup <Name> | Format-List Name,RecipientTypeDetails,PrimarySmtpAddress
更改已启用邮件的安全组属性
使用 EAC 更改已启用邮件的安全组属性
在 EAC 中,导航到“收件人”>“组”。
在组列表中,单击要查看或更改的安全组,然后单击 “编辑
。在组属性页面上,单击以下部分之一来查看或更改属性。
一般信息
使用此部分可以查看或更改有关组的基本信息。
* 显示名称 电子邮件发送到此组时,此名称将显示在通讯簿中的“目标:”行上,以及“组”列表中。 显示名称是必需的,并且应当是用户友好的,以便用户可以识别它。 显示名称在域中还必须是唯一的。
*别名 这是出现在 (@) 符号左侧的电子邮件地址部分。 如果更改别名,组的主 SMTP 地址也会更改,并包含新的别名。 同时,带有之前别名的电子邮件地址将作为该组的代理地址保留。
描述 使用此框描述组,以便人们知道组的用途。 此说明出现在通讯簿和 EAC 的"详细信息"窗格中。
从地址列表中隐藏此组 如果不希望用户在通讯簿中看到此组,请选中此复选框。 选中此复选框后,发件人必须在"收件人:"或"抄送:"行上键入组的别名或电子邮件地址,才能将邮件发送到相应组。
提示
应考虑隐藏安全组,原因是这些组通常用于向组成员分配权限,而不是用于发送电子邮件。
组织单位 此只读框显示包含安全组的组织单位 (OU) 。 必须使用 Active Directory 用户和计算机,才能将组移到其他 OU 中。
Ownership
在此部分中可以分配组所有者。 组所有者不仅可以在组中添加成员,还能批准或拒绝加入组请求。 默认情况下,组创建者即为组所有者。 所有组都必须至少有一个所有者。
可以通过单击“添加”所有者。 可以通过选择所有者并单击“删除删除”
所有者。
成员身份
使用此部分可以添加或删除成员。 组所有者不必是组的成员。 在“ 成员”下,可以通过单击“ 添加成员。 可以通过在成员列表中选择用户,然后单击“ 删除来删除成员。
成员身份审批
在此部分中可以指定用户是否需要获得所有者批准才能加入组。 如果你选中“需要所有者审批”复选框,一名或多名组所有者会收到请求审批加入组的电子邮件。 如前所述,只有所有者才能从组中删除成员。
注意
由于存在与安全相关的限制,因此无法对启用邮件的安全组使用这个选项。
传递管理
使用此部分可以管理谁将电子邮件发送到该组。
仅组织内的发件人 选择此选项可仅允许组织中的发件人向组发送邮件。 这意味着如果组织外部的某个人向此组发送电子邮件,邮件将被拒绝。 这是默认设置。
组织内外的发件人 选择此选项可允许任何人向组发送消息。
您可以通过仅允许特定发件人向此组发送邮件,来进一步限制可以将邮件发送到此组的发件人。 单击“ 添加
然后选择一个或多个收件人。 向此列表中添加发件人后,这些发件人将是唯一能够向此组发送邮件的人员。 不在此列表中的任何人发送的邮件都将被拒绝。若要从列表中删除个人或组,请在列表中选择他们,然后单击“ 删除
。重要
如果您已将此组配置为只允许组织内部的发件人向此组发送邮件,则从邮件联系人发送的电子邮件将被拒绝,即使这些联系人已添加到此列表中也是如此。
邮件审批
使用此部分可以设置用于仲裁组的选项。 审阅人可以在发送到此组的邮件到达组成员之前批准或拒绝邮件。
发送到此组的消息必须经过审查员的批准 默认情况下未选中此复选框。 如果你选中此复选框,传入的邮件在传递前会先由组审查方进行检查。 组审查方可以批准或拒绝传入的邮件。
组审查员若要添加组审查员,请单击“添加
若要删除审查器,请选择审查器,然后单击“ 删除。 如果已选中"发送到此组的邮件必须由审查方批准",但未选择审查方,则发送到此组的邮件将会发送给组所有者以供审批。不需要邮件审批的发件人 若要添加可绕过此组审查的人员或组,请单击“ 添加
。 若要删除个人或组,请选择该项目,然后单击“ 删除。选择审查通知 使用此部分可设置有关消息审批通知用户的方式。
当发件人的邮件未获批准时通知所有发件人 这是默认设置。 当组织内外的发件人的邮件未获批准时,将收到通知。
当发件人的邮件未获批准时通知组织中的发件人 选择此选项时,当审阅人未批准他们发送给组的消息时,只会通知组织中的人员或组。
邮件未获批准时不通知任何人选择此选项时,不会向消息未获得组审查者批准的消息发件人发送通知。
电子邮件选项
使用此部分可以查看或更改与该组关联的电子邮件地址。 这包括组的主 SMTP 地址和任何关联的代理地址。 主 SMTP 地址 (也称为答复地址) 在地址列表中以粗体文本显示,“类型”列中的大写 SMTP 值。
添加单击“
为此邮箱添加新电子邮件地址。 选择以下地址类型之一:Smtp 这是默认地址类型。 单击此按钮,然后在“* Email地址”框中键入新的 SMTP 地址。
注意
若要将新地址设为相应组的主 SMTP 地址,请选中“将此设为答复地址”复选框。 仅当未选中“ 基于应用于此收件人的电子邮件地址策略自动更新电子邮件地址 ”复选框时,才会显示此复选框。
自定义地址类型单击此按钮,然后在“*Email地址”框中键入受支持的非 SMTP 电子邮件地址类型之一。
注意
除 X.400 地址以外,Exchange 不验证自定义地址的格式是否正确。 您必须确保所指定的自定义地址符合该地址类型的格式要求。
编辑 若要更改与组关联的电子邮件地址,请在列表中选择该电子邮件地址,然后单击“ 编辑
。注意
若要将现有地址设为相应组的主 SMTP 地址,请选中“将此设为答复地址”复选框。 如前所述,仅当未选中“ 基于应用于此收件人的电子邮件地址策略自动更新电子邮件地址 ”复选框时,才会显示此复选框。
删除 若要删除与组关联的电子邮件地址,请在列表中选择该地址,然后单击“ 删除
。根据应用于此收件人的电子邮件地址策略自动更新电子邮件地址 选中此复选框,根据对组织中电子邮件地址策略所做的更改自动更新收件人的电子邮件地址。 默认情况下,此框处于选中状态。
邮件提示
使用此部分可以添加邮件提示,以便在用户向该组发送邮件时提醒用户存在潜在的问题。 邮件提示是在将该组添加到新电子邮件的"收件人"、"抄送"或"密件抄送"行时,信息栏中显示的文本。 例如,对于较大的组,可添加邮件提示来提醒潜在的发送人:他们的邮件将会发送给很多人。
注意
邮件提示可包含 HTML 标记,但不允许包含脚本。 自定义邮件提示的长度不能超过 175 个显示的字符。 此字符限制不计入 HTML 标记。
组代理
使用此部分可以向用户分配权限(称为"代理"),允许他们以组身份发送邮件或代表组发送邮件。 可以分配以下权限:
发送为 此权限允许委托以组身份发送消息。 分配此权限后,委托可以选择将组添加到 “发件人 ”行,以指示该消息是由组发送的。
代表发送 此权限还允许委托代表组发送消息。 分配此权限后,委托可以选择在 “发件人 ”行中添加组。 邮件将显示为由组发送,并将说明该邮件由代理代表组发送。
若要向代理人分配权限,请单击相应权限下的“ 添加 ”以显示 “选择收件人” 页,其中显示 Exchange 组织中可分配权限的所有收件人的列表。 选择所需的收件人,将其添加到列表中,然后单击“确定”。 还可以通过在搜索框中键入收件人的姓名,然后单击“搜索搜索”
来搜索特定收件人。
使用命令行管理程序更改安全组属性
使用 Get-DistributionGroup 和 Set-DistributionGroup cmdlet 查看和更改安全组的属性。 命令行管理程序的优势在于,能够更改 EAC 中不可更改的属性,并能更改多个安全组的属性。 若要了解哪些参数对应哪些通讯组属性,请参阅下列主题:
下面是使用命令行管理程序更改安全组属性的一些示例。
此示例显示组织中所有安全组的列表。
Get-DistributionGroup -ResultSize unlimited -Filter "RecipientTypeDetails -eq 'MailUniversalSecurityGroup'"
本示例将西雅图管理员安全组的主 SMTP 地址 (也称为答复地址) 从 admins@contoso.com 更改为 seattle.admins@contoso.com。 以前的答复地址将保持为代理地址。
Set-DistributionGroup "Seattle Employees" -EmailAddresses SMTP:sea.admins@contoso.com,smtp:admins@contoso.com
此示例在通讯簿中隐藏组织中的所有安全组。
Get-DistributionGroup -ResultSize unlimited -Filter "RecipientTypeDetails -eq 'MailUniversalSecurityGroup'" | Set-DistributionGroup -HiddenFromAddressListsEnabled $true
如何知道操作成功?
要验证是否已成功更改安全组的属性,请执行以下操作:
在 EAC 中,选择组,然后单击 “编辑
查看更改的属性或功能。 根据所更改的属性,它可能显示在选定组的"详细信息"窗格中。在 Shell 中,使用 Get-DistributionGroup cmdlet 验证更改。 使用命令行管理程序的一个优点是可查看多个组的多个属性。 在上面的示例中,所有安全组都隐藏在通讯簿中,运行以下命令来验证新值。
Get-DistributionGroup -ResultSize unlimited -Filter "RecipientTypeDetails -eq 'MailUniversalSecurityGroup'" | Format-List Name,HiddenFromAddressListsEnabled