如何确保收件人模板的安全

 

适用于： Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上一次修改主题： 2007-03-26

在 Microsoft Exchange Server 2007 中，可以将现有收件人用作模板。这允许您以一致的方式设置收件人，而不必明确指定所有配置设置。可以在创建新收件人时使用现有收件人作为模板，同时还可以维护专用于此目的特定收件人。专门用作供设置新收件人使用的模板的收件人称为“收件人模板”。

收件人模板与真实的人、资源或组没有关联。因此，您应该保护收件人模板以便最大限度地降低与拥有一般帐户相关联的风险。这对于邮箱和邮件用户模板来说尤为重要，因为它们都具有 Active Directory 目录服务登录凭据，并且如果未对其进行适当保护，这些模板便可被用来通过不可预知的方式访问组织中的资源。

本主题将介绍如何使用 Active Directory 用户和计算机以及 Exchange 管理控制台或 Exchange 命令行管理程序来确保收件人模板的安全。

开始之前

若要执行此步骤，必须为您使用的帐户委派下列角色：

• Exchange 收件人管理员角色

• 帐户操作员角色（对于适用的 Active Directory 容器）

有关管理 Exchange 2007 所需的权限、角色委派以及权利的详细信息，请参阅权限注意事项。

步骤

为确保收件人模板安全而需要执行的步骤对所有收件人都相同。但是，必须为拥有 Active Directory 登录凭据的收件人（例如，邮箱和邮件用户）执行更多的任务。本主题分为以下两部分：

• 确保邮箱和邮件用户模板的安全

• 确保通讯组、动态通讯组和邮件联系人模板的安全

确保邮箱和邮件用户模板的安全

邮箱和邮件用户模板具有 Active Directory 登录凭据，可以访问已授予其权限的资源。因此，必须确保绝不使用邮箱或邮件用户模板的相关联用户帐户访问资源。

注意：
尽管此部分中的过程介绍的是如何确保邮箱模板的安全，但是确保邮件用户模板安全的过程与此相同。

若要最低限度地确保邮箱和邮件用户模板的安全，您应执行以下步骤。

使用 Active Directory 用户和计算机来确保邮箱模板的安全

1. 启动 Active Directory 用户和计算机。

2. 在控制台树中，选择包含邮箱模板用户帐户的组织单位 (OU)。

3. 在详细信息窗格中，右键单击与邮箱模板关联的用户帐户，然后单击“禁用帐户”。此步骤可防止使用该帐户登录到 Active Directory。

4. 右键单击刚刚禁用的用户帐户，然后单击“属性”。

5. 在“成员”选项卡上的“<邮箱> 属性”中，单击“添加”打开“选择收件人”对话框。

6. 在“输入对象名称来选择”框中，键入模板帐户，然后单击“检查姓名”。

7. 单击“确定”关闭“选择组”对话框。

8. 在“成员”下，单击“模板帐户”组，然后单击“设置主要组”。

9. 选择“域用户”组，然后单击“删除”。此步骤可确保帐户即使在意外被启用的情况下也无法获得到对网络资源的访问权。

   要点：
   如果此模板用户只是域用户安全组的成员，则您无法删除它的成员身份，因为它是该用户的主安全组。在 Active Directory 中，每位用户都必须至少是一个安全组的成员。因此，您应为所有用作模板的用户帐户创建专用安全组并将其用作主安全组。此安全组不得用于分配权限。关于如何确保组安全的详细步骤，请参阅 Securing Active Directory Administrative Groups and Accounts。此步骤假设您已经创建了名为“模板帐户”的安全组来实现此目的。

10. 单击“确定”。

此外，建议执行下面的其他步骤来确保邮箱或邮件用户模板的安全。但是，通过执行这些步骤而更改的配置设置会被复制到任何使用该模板进行设置的新收件人中。因此，如果执行以下步骤，您应记得为使用此模板设置的新收件人重设这些设置。

使用 Exchange 管理控制台执行其他步骤来确保邮箱模板的安全

1. 启动 Exchange 管理控制台。

2. 在控制台树中，单击“收件人配置”。

3. 在结果窗格中，右键单击邮箱模板，然后单击“属性”。

4. 在“<邮箱模板> 属性”中的“常规”选项卡上，选中“不显示在 Exchange 地址列表中”复选框。这可防止邮箱或邮件用户模板显示在全局地址列表 (GAL) 或其他 Exchange 地址列表中。

5. 在“<邮箱模板> 属性”的“邮件流设置”选项卡上，选择“邮件大小限制”，然后单击“属性”。

6. 在“邮件大小限制”中，为“接收邮件大小”选中“最大邮件大小(KB)”复选框。在文本框中键入 0。由于未监视收件人模板，此步骤可确保邮箱模板不接收电子邮件。

7. 单击“确定”。

8. 单击“确定”。

使用 Exchange 命令行管理程序执行其他步骤来确保邮箱模板的安全

• 若要执行其他步骤以确保 Template Mailbox 邮箱模板的安全，请运行以下命令：（对于邮件用户，请使用带有相同参数的 Set-MailUser cmdlet。）

  Set-Mailbox -Identity "Template Mailbox" -HiddenFromAddressListsEnabled $true -MaxReceiveSize 0KB
  

若要为使用安全收件人模板设置的新邮箱或邮件用户重设上述其他设置，您可以重复前面的步骤并反向更改。但是，Exchange 命令行管理程序的管道传输功能允许您仅使用一行代码来设置新收件人并重设这些设置。以下示例说明如何为邮箱完成上述过程。该过程同样适用于邮件用户，但必须改用 Get-MailUser、New-MailUser 和 Set-MailUser cmdlet。

使用 Exchange 命令行管理程序通过收件人模板来创建新邮箱，并重设用来确保邮箱模板安全的其他配置设置

• 若要使用邮箱模板 Template Mailbox 为 John Smith 创建邮箱，请运行以下命令：（New-Mailbox cmdlet 的结果将通过管道传输到 Set-Mailbox cmdlet，以重设用来确保邮箱模板安全的其他配置设置。）

  $Temp = Get-Mailbox "Template Mailbox"
  New-Mailbox -Name "John Smith" -UserPrincipalName "jsmith@contoso.com" -OrganizationalUnit "contoso.com/Users" -Database "Server01\Mailbox Database" -TemplateInstance $Temp | Set-Mailbox -HiddenFromAddressListsEnabled $false -MaxReceiveSize unlimited
  

• 收到提示时，输入新邮箱的密码。

有关语法和参数的详细信息，请参阅下列参考主题：

• Get-Mailbox

• New-Mailbox

• Set-Mailbox

• Get-MailUser

• New-MailUser

• Set-MailUser

确保通讯组、动态通讯组和邮件联系人模板的安全

建议执行以下步骤来确保通讯组、动态通讯组和邮件联系人模板的安全。但是，通过执行这些步骤而更改的配置设置会被复制到任何使用该模板进行设置的新收件人中。因此，如果执行以下步骤，您应记得为使用此模板设置的新收件人重设这些设置。

要点：
不应将通用安全组用作通讯组模板。通用安全组可用于授予对 Active Directory 资源的访问权限。由于必须为新通讯组指定通讯组类型，因此将在 Active Directory 中具有安全主体的组用作通讯组模板是不必要的安全风险。

注意：
尽管此部分的过程说明的是如何确保邮件联系人模板的安全，但该过程同样适用于通讯组或动态通讯组模板。

使用 Exchange 管理控制台确保邮件联系人模板的安全

1. 启动 Exchange 管理控制台。

2. 在控制台树中，单击“收件人配置”。

3. 在结果窗格中，右键单击邮件联系人模板，然后单击“属性”。

4. 在“<邮件联系人模板> 属性”中的“常规”选项卡上，选中“不显示在 Exchange 地址列表中”复选框。这可邮件联系人模板显示在全局地址列表 (GAL) 或其他 Exchange 地址列表中。

5. 在“<邮件联系人模板> 属性”中的“邮件流设置”选项卡上，选择“邮件大小限制”，然后单击“属性”。

6. 在“邮件大小限制”中，为“接收邮件大小”选中“最大邮件大小(KB)”复选框。在文本框中键入 0。由于未监视收件人模板，因此该步骤可确保邮件联系人模板不接收电子邮件。

7. 单击“确定”。

8. 单击“确定”。

使用 Exchange 命令行管理程序确保邮件联系人模板的安全

• 若要执行其他步骤以确保 Template Mail Contact 邮件联系人模板的安全，请运行以下命令：（对于通讯组，请使用 Set-DistributionGroup cmdlet；对于动态通讯组，请用带有相同参数的 Set-DynamicDistributionGroup cmdlet。）

  Set-MailContact -Identity "Template Mail Contact" -HiddenFromAddressListsEnabled $true -MaxReceiveSize 0KB
  

若要为使用安全收件人模板设置的收件人重设其他设置，您可以重复前面的步骤并反向更改。但是，Exchange 命令行管理程序的管道传输功能允许您仅使用一行代码来设置新收件人并重设这些设置。以下示例说明如何为邮件联系人完成上述过程。此过程同样适用于通讯组或动态通讯组，但对于通讯组收件人类型，您必须改用Get-DistributionGroup、New-DistributionGroup 和 Set-DistributionGroup cmdlet；对于动态通讯组收件人类型，改用Get-DynamicDistributionGroup、New-DynamicDistributionGroup 和 Set-DynamicDistributionGroup cmdlet。

使用 Exchange 命令行管理程序通过收件人模板来创建新的邮件联系人，并重设用来确保邮件联系人模板安全的其他配置设置

• 若要使用邮件联系人模板 Template Mail Contact 为 John Smith 创建邮件联系人，请运行以下命令：（New-MailContact cmdlet 的结果将通过管道传输到 Set-MailContact cmdlet，以重设用来确保邮件联系人模板安全的其他配置设置。）

  $Temp = Get-MailContact "Template Mail Contact"
  New-MailContact -Name "John Smith" -UserPrincipalName "jsmith@contoso.com" -OrganizationalUnit "contoso.com/Users" -Database "Server01\Mailbox Database" -TemplateInstance $Temp | Set-MailContact -HiddenFromAddressListsEnabled $false -MaxReceiveSize unlimited
  

有关语法和参数的详细信息，请参阅下列参考主题：

• Get-MailContact

• New-MailContact

• Set-MailContact

• Get-DistributionGroup

• New-DistributionGroup

• Set-DistributionGroup

• Get-DynamicDistributionGroup

• New-DynamicDistributionGroup

• Set-DynamicDistributionGroup

详细信息

有关如何使用收件人模板创建收件人的详细步骤，请参阅如何使用模板创建收件人。

有关收件人的详细信息，请参阅了解收件人。

有关 Exchange 命令行管理程序中管道输出功能的详细信息，请参阅管道传输。

有关 Exchange 2007 中管理界面的详细信息，请参阅管理界面。