Implementieren von Exchange-Adressbuchrichtlinien

Segmentieren Sie ihre globale Adressliste für Benutzer. Lassen Sie uns sehen, wo Adressbuchrichtlinien sinnvoll sind und welche Schritte erforderlich sind, um sie effektiv umzusetzen.

Frühere Versionen von Exchange Server enthielten eine Funktion, die als GAL-Trennung bezeichnet wurde. Die GAL-Trennung wird implementiert, indem benutzerdefinierte Berechtigungen für Active Directory festgelegt werden, und Administratoren können ihre globale Adressliste segmentieren. Auf diese Weise erhalten verschiedene Benutzergruppen bestimmte Ansichten anderer Benutzer in der Organisation. Obwohl gut dokumentiert, war die Konfiguration der GAL-Trennung kein einfacher Prozess.

In der Exchange 2010 SP2-Version und in Exchange 2013 enthalten, bieten Adressbuchrichtlinien dieselbe Funktionalität, obwohl die Dinge vereinfacht wurden.

Wo werden Adressbuchrichtlinien verwendet?

Adressbuchrichtlinien (ABPs) sind relativ einfach zu implementieren, jedoch nicht für alle Organisationen geeignet. Mal sehen, wo sie Sinn machen.

Abbildung 1: Ein Unternehmen mit mehreren Abteilungen ist ein hervorragender Kandidat für Exchange-Adressbuchrichtlinien.

Unternehmen mit mehreren Geschäftsbereichen
Wenn Ihre Organisation mehrere Abteilungen hat, die unabhängig voneinander arbeiten, hat eine Abteilung möglicherweise keinen Grund, sich täglich mit einer anderen zu befassen. Eine massive globale Adressliste (GAL) dient nur dazu, die Endbenutzer zu verwirren. Administratoren in diesen Unternehmen sollten die Adressbuchrichtlinien für jeden Geschäftsbereich berücksichtigen, wobei die Unternehmensgruppe die vollständige Transparenz über das gesamte Unternehmen behält (Abbildung 1).
Hochschulen, Universitäten und Schulbezirke
Während Bildungseinrichtungen häufig Zehntausende von Postfächern haben, ist es üblich, dass sie mehrere Abschnitte haben, die unabhängig voneinander arbeiten.
Der Ansatz jeder Institution ist unterschiedlich, aber betrachten Sie das folgende Beispiel. Studenten jeder Studienschule können eine GAL mit Kommilitonen, Professoren und Mitarbeitern ihrer jeweiligen Schule einsehen. Ebenso können Mitarbeiter eine GAL mit Studenten, Kollegen und relevanten Mitarbeitern in den Verwaltungsabteilungen anzeigen.
Die Verwaltungsabteilungen müssen sich möglicherweise nur an das allgemeine Personal wenden und haben möglicherweise Probleme, das mit den Studenten vermischte Personal zu identifizieren. Hier ist es sinnvoll, eine GAL zu haben, die nur aus Mitarbeitern besteht.

Abbildung 2: Adressbuchrichtlinien sind für Bildungseinrichtungen sehr sinnvoll.

Es ist möglich, eine Reihe von Adressbuchrichtlinien einzurichten, in denen kein einzelner Benutzer alle anzeigen kann, die Mitarbeiter jedoch in mehreren GALs vertreten sind (Abbildung 2).
Mandantenfähige Umgebungen
Adressbuchrichtlinien sind auch für Umgebungen mit mehreren Mandanten sehr sinnvoll. Dies ist sicherlich nicht der Schwerpunkt dieses Tipps, da gehostete Umgebungen viel mehr Überlegungen enthalten als nur die GAL-Trennung, aber es ist erwähnenswert.

Abbildung 3: Adressbuchrichtlinien sind für Exchange-Umgebungen mit mehreren Mandanten sinnvoll.

In einer gehosteten Konfiguration ist einem Endbenutzer wahrscheinlich nicht bewusst, dass er einer von vielen ist, die eine gemeinsame Exchange-Umgebung gemeinsam nutzen. Daher ist es unwahrscheinlich, dass der Endbenutzer in mehreren GALs anwesend ist. In solchen Situationen wird häufig ein ABP pro Unternehmensmodell verwendet (Abbildung 3).

Definieren Sie Ihre Anforderungen

Nachdem Sie festgelegt haben, warum Sie ABPs verwenden möchten, müssen Sie Ihre Anforderungen definieren. Schauen wir uns als Beispiel ein Unternehmen mit mehreren Unternehmensbereichen an:

  • Contoso Holdings – die Muttergruppe
  • Tailspin Toys – eine Spielzeugabteilung innerhalb von Contoso Holdings
  • Fabrikam Electronics – eine Abteilung innerhalb von Contoso Holdings, die Elektronik vertreibt

Die Unternehmensbereiche werden so aufgeteilt, dass:

  • Die Mitarbeiter von Contoso Holdings (der Muttergesellschaft) sehen sich selbst sowie alle Mitarbeiter der Unterabteilungen in einer großen GAL.
  • Mitarbeiter von Tailspin Toys und Fabrikam Electronics sehen nur Kollegen in ihren jeweiligen Abteilungen, für die jeweils GALs definiert sind.

Contoso Holdings und die beiden separaten Abteilungen sind in ihren eigenen Organisationseinheiten in Active Directory enthalten. Dies macht es einfach, Benutzer innerhalb der jeweiligen Abteilung zu finden.
Verwenden wir für jede GAL die von Exchange CustomAttribute1 um Benutzer zu filtern und zu bestimmen, wer in jeder GAL aufgeführt werden soll. Wir verwenden CustomAttribute1, um den Abteilungsnamen zu speichern, und erstellen dann zwei Adressbuchrichtlinien für jede Abteilung. Dadurch bleiben die Contoso-Benutzer des Unternehmens unverändert und haben Einblick in die vorhandene globale Standardadressrichtlinie.

Implementieren von Exchange-Adressbuchrichtlinien

Nachdem wir unsere Anforderungen definiert haben, wird die Implementierung von ABPs einfacher. Wir müssen folgende Aufgaben erledigen:

  • Legen Sie das benutzerdefinierte Attribut für Benutzer in den Abteilungen Tailspin und Fabrikam fest.
  • Erstellen Sie zwei neue GALs für beide Abteilungen.
  • Erstellen Sie neue Adresslisten für beide Abteilungen.
  • Erstellen Sie neue Offline-Adressbücher (OABs) für beide Abteilungen.
  • Erstellen Sie zwei neue Adressbuchrichtlinien, die auf die oben genannten GALs, Adresslisten und OABs verweisen.
  • Weisen Sie den Benutzern in jeder Abteilung die Adressbuchrichtlinien zu.

Der Kern dieses Prozesses wird über PowerShell ausgeführt. Die Ergebnisse unserer Aktionen können wir jedoch später in der Exchange Management Console (EMC) anzeigen.
Lassen Sie uns zunächst unser CustomAttribute für Tailspin- und Fabrikam-Benutzer festlegen, um uns das Schlüsselattribut zu geben, nach dem gefiltert werden soll:
# Legen Sie CustomAttribute1 für TailSpin fest
Get-Mailbox -OrganizationalUnit contoso.com/TailSpin | Set-Mailbox -CustomAttribute1 TailSpin
Get-MailUser -OrganizationalUnit contoso.com/TailSpin | Set-MailUser -CustomAttribute1 TailSpin
Get-DistributionGroup -OrganizationalUnit contoso.com/TailSpin | Set-DistributionGroup -CustomAttribute1 TailSpin
# Legen Sie CustomAttribute1 für Fabrikam fest
Get-Mailbox -OrganizationalUnit contoso.com/Fabrikam | Set-Mailbox -CustomAttribute1 Fabrikam
Get-MailUser -OrganizationalUnit contoso.com/Fabrikam | Set-MailUser -CustomAttribute1 Fabrikam
Get-DistributionGroup -OrganizationalUnit contoso.com/Fabrikam | Set-DistributionGroup -CustomAttribute1 Fabrikam
Als Nächstes erstellen wir die neuen GALs für jede Abteilung unter Bezugnahme auf das CustomAttribute und seinen Wert:
New-GlobalAddressList “TailSpin Global Address List” -RecipientFilter {(CustomAttribute1 -eq “TailSpin”)} | Update-GlobalAddressList
New-GlobalAddressList “Fabrikam Global Address List” -RecipientFilter {(CustomAttribute1 -eq “Fabrikam”)} | Update-GlobalAddressList
Als nächstes müssen wir die Basisadresslisten erstellen. Dies sind die Standard- “Ordner” innerhalb der GAL, mit denen Endbenutzer Listen von Postfächern, Verteilergruppen, Kontakten und Raumpostfächern anzeigen:
# Erstellen Sie TailSpin-Adresslisten
New-AddressList “TailSpin Users” -RecipientFilter {((CustomAttribute1 -eq “TailSpin”) -und (RecipientType -eq ‘UserMailbox’))} | Update-Adressliste
New-AddressList “TailSpin Groups” -RecipientFilter {((CustomAttribute1 -eq “TailSpin”) -und (RecipientType -eq ‘MailUniversalDistributionGroup’ -oder RecipientType -eq ‘MailUniversalSecurityGroup’ -or RecipientTor ‘ DynamicDistributionGroup ‘))} | Update-Adressliste
New-AddressList “TailSpin Contacts” -RecipientFilter {((CustomAttribute1 -eq “TailSpin”) -und (RecipientType -eq ‘MailContact’))} | Update-Adressliste
New-AddressList “TailSpin Rooms” -RecipientFilter {((CustomAttribute1 -eq “TailSpin”) -und (Alias ​​-ne $ null) -und ((RecipientDisplayType -eq ‘ConferenceRoomMailbox’) -oder (RecipientDisplayType -eq ‘SyncedConferenceRoomMailMailMailbox) )} | Update-Adressliste
# Erstellen Sie Fabrikam-Adresslisten
Neue Adressliste “Fabrikam-Benutzer” -RecipientFilter {((CustomAttribute1 -eq “Fabrikam”) -und (RecipientType -eq ‘UserMailbox’))} | Update-Adressliste
New-AddressList “Fabrikam Groups” -RecipientFilter {((CustomAttribute1 -eq “Fabrikam”) -und (RecipientType -eq ‘MailUniversalDistributionGroup’ -oder RecipientType -eq ‘MailUniversalSecurityGroup’ -oder RecipientType -eq ‘ DynamicDistributionGroup ‘))} | Update-Adressliste
Neue Adressliste “Fabrikam-Kontakte” -RecipientFilter {((CustomAttribute1 -eq “Fabrikam”) -und (RecipientType -eq ‘MailContact’))} | Update-Adressliste
New-AddressList “Fabrikam Rooms” -RecipientFilter {((CustomAttribute1 -eq “Fabrikam”) -und (Alias ​​-ne $ null) -und ((RecipientDisplayType -eq ‘ConferenceRoomMailbox’) -oder (RecipientDisplayType -eq ‘SyncedConferenceRoomMailbox’) )} | Update-Adressliste
Wir müssen jetzt die Komponenten der neuen GALs aufrunden und zwei neue OABs erstellen:
New-OfflineAddressBook “TailSpin Offline-Adressbuch” -AddressLists “TailSpin Global Address List”
New-OfflineAddressBook “Fabrikam Offline-Adressbuch” -AddressLists “Fabrikam Global Address List”
Nachdem wir unsere GALs, Adresslisten und OABs haben, können wir zwei neue Adressbuchrichtlinien erstellen:
New-AddressBookPolicy -Name “TailSpin-Adressbuchrichtlinie” -AddressLists (Get-AddressList TailSpin *) -OfflineAddressBook “TailSpin Offline-Adressbuch” -GlobalAddressList ” TailSpin Globale Adressliste” -RoomList ” TailSpin Rooms”
New-AddressBookPolicy -Name “Fabrikam-Adressbuchrichtlinie” -AddressLists (Get-AddressList Fabrikam *) -OfflineAddressBook “Fabrikam Offline-Adressbuch” -GlobalAddressList ” Fabrikam Globale Adressliste” -RoomList ” Fabrikam Rooms”

Abbildung 4: Die neu erstellten Adressbuchrichtlinien werden jetzt in der EMV angezeigt.

Die vollständigen und funktionierenden Adressbuchrichtlinien sind jetzt fertig. Sie werden zusammen mit allem anderen, was wir erstellt haben, in der EMV angezeigt (Abbildung 4).
Obwohl wir – die Administratoren – die Richtlinien sehen können, können Endbenutzer dies nicht. Mit anderen Worten, obwohl Benutzer in der GAL aufgeführt sind, die in einem ABP enthalten ist, bedeutet dies nicht, dass es die ist, die sie sehen. Damit Benutzer die richtige GAL sowie ihre jeweiligen Komponenten sehen können, müssen wir jedem Benutzer das richtige ABP zuweisen.
Verwenden Sie dazu den CustomAttribute-Filter, mit dem wir zuvor nach Postfächern gesucht haben Get-Mailbox Cmdlet und Pipe die Ergebnisse an die Set-Mailbox Cmdlet. Dadurch wird das ABP zugewiesen:
Get-Mailbox -Filter {(CustomAttribute1 -eq “TailSpin”)} | Set-Mailbox -AddressBookPolicy “TailSpin-Adressbuchrichtlinie”
Get-Mailbox -Filter {(CustomAttribute1 -eq “Fabrikam”)} | Set-Mailbox -AddressBookPolicy “Fabrikam-Adressbuchrichtlinie”

Abbildung 5: Weisen Sie einem Postfach eine Exchange-Adressbuchrichtlinie zu.

Sie müssen diese Aufgabe nicht unbedingt mit der Exchange-Verwaltungsshell (Exchange Management Shell, EMS) ausführen, obwohl dies für mehrere Benutzer sicherlich einfacher ist. Sie können auch die EMV verwenden und beim Bearbeiten eines einzelnen Postfachs eine Adressbuchrichtlinie zuweisen (Abbildung 5).

Abbildung 6: Ein Screenshot der neuen GAL eines Benutzers.

Wir haben jetzt erfolgreich Adressbuchrichtlinien implementiert. Wenn ein Benutzer seine GAL anzeigt, wird nur die Ansicht der Organisation basierend auf seiner Abteilung angezeigt (Abbildung 6).
Der letzte zu verstehende Aspekt ist, was mit neuen Benutzern zu tun ist. Nachdem Sie einen neuen Benutzer und ein neues Postfach innerhalb einer Abteilung erstellt haben, müssen Sie zwei zusätzliche Aufgaben ausführen:

  • Weisen Sie dem neuen Benutzer die Adressbuchrichtlinie zu.
  • Fügen Sie dem neuen Benutzer den richtigen Abteilungsnamen zu CustomAttribute1 hinzu.

Da wir zuvor CustomAttribute1 verwendet haben – eine Eigenschaft, die über die EMV angezeigt und einfach bearbeitet werden kann – können die beiden Aufgaben dort nach dem Erstellen des Postfachs problemlos ausgeführt werden.
Sie können die Aufgabe jedoch auch mit dem EMS ausführen:
New-Mailbox “Sales” -OrganizationalUnit contoso.com/TailSpin -UserPrincipalName [email protected] -AddressBookPolicy “TailSpin-Adressbuchrichtlinie” -Shared | Set-MailBox -CustomAttribute1 “TailSpin”

Abschließende Gedanken

Adressbuchrichtlinien klingen anfangs vielleicht entmutigend, aber wie Sie sehen, sind sie mit den richtigen Schritten recht einfach zu konfigurieren. Wenn Sie die in diesem Tipp beschriebenen Techniken verwenden, werden Sie feststellen, dass das Implementieren und Verwalten von Adressbuchrichtlinien in Ihrer Exchange-Organisation sowohl einfach zu erreichen ist als auch nur eine minimale zukünftige Verwaltung erfordert.
Über den Autor:
Steve Goodman ist ein Exchange MVP und arbeitet als technischer Architekt für einen der führenden britischen Microsoft Gold-Partner, die Phoenix IT Group. Goodman ist seit 14 Jahren in der IT-Branche tätig und arbeitet seit Version 5.5 intensiv mit Microsoft Exchange zusammen.

Similar Posts

Leave a Reply