. Для конечных пользователей, выбравших Options в Outlook Web App (OWA), окно управления настройками учетной записи является частью ECP. Для администраторов с делегированными полномочиями (например, администраторов филиала, специалистов службы поддержки), ECP представляет собой удобный интерфейс для управления свойствами учетных записей и групп. Для администраторов Exchange ECP обеспечивает альтернативный интерфейс к одним установкам и единственный графический интерфейс к другим. Наконец, для администраторов компаний, пользующихся услугами провайдеров (например, пользователей Microsoft Office 365), ECP — основное средство управления свойствами Exchange, определенными для компании.

Для конечного пользователя

В большинстве функций, предлагаемых ECP конечным пользователям, когда они выбирают Options в OWA, нет ничего нового для OWA или Exchange. Настройки календаря, подписи для сообщений или уведомление об отсутствии — все это уже есть. В дополнение к этим параметрам появилось несколько новых функций, которые доступны конечным пользователям только через ECP. Среди них способность управлять данными в записи из списка Global Address List (GAL), а также возможность управлять группами рассылки и безопасности, для которых пользователь является владельцем. Другие специфичные для ECP полезные функции включают доступ к отчетам о доставке (отслеживание сообщений для администраторов Exchange), возможность управлять мобильными устройствами и текстовыми сообщениями (SMS), а также доступ к информации, такой как настройки сервера POP и IMAP.

Самостоятельное управление данными адресной книги для конечных пользователей было требованием как крупных компаний, так и небольших организаций за последние 10 лет. До выхода Exchange 2010 многочисленные партнеры компании предоставляли продукты, предусматривающие реализацию такой возможности. Альтернативой могли быть только весьма ненадежные «доморощенные» решения. Exchange 2010 не кажется таким гибким, как большинство сторонних продуктов, но он отвечает нуждам большинства потребителей.

На экране 1 показана первая страница редактора GAL для экрана Options конечного пользователя в ECP. Поля, доступные в редакторе, нельзя поменять; они охватывают такие важные базовые сведения, как имя, телефонные номера, адрес и т. д. Здесь я могу изменить свой номер телефона, однако мое имя можно только прочитать, на что указывает серое текстовое поле. Как администратор, вы можете использовать управление доступом на основе ролей — Role Based Access Control (RBAC), чтобы определить, могут л и пользователи редактировать специальные поля или личные данные. Благодаря гибкости RBAC вам не нужно применять такую же политику ко всем пользователям; к примеру, вы захотите, чтобы сотрудники могли изменять только номера своих мобильных телефонов, но при этом допускаете, что работающие по контракту могут отредактировать как рабочие, так и мобильные телефонные номера.

 

Самостоятельное управление записями GAL
Экран 1. Самостоятельное управление записями GAL

Для рынка дополнительных продуктов с первых дней Exchange было актуально самостоятельное управление списками рассылки — distribution lists (DL). Outlook всегда предоставлял пользователям возможность добавлять или удалять членов из DL, при наличии у них соответствующего доступа; однако эта способность зачастую не обеспечивалась достаточными возможностями. Многим организациям была необходима способность делегировать создание и удаление списков рассылки, наряду с обеспечением возможности для конечных пользователей присоединяться к группам или покидать их без участия администратора.

Exchange 2010 сразу реализовал все эти возможности, доступные через ECP. Пользователи могут создавать и удалять DL, равно как и управлять всеми свойствами списков, которыми владеют. В дополнение к управлению списками конечные пользователи могут присоединяться к группам рассылки, перечисленным в GAL, или покидать их. В той же мере, что и самостоятельное управление GAL, все возможности, имеющие отношение к управлению группами, контролируются через RBAC. Например, администраторы с легкостью могут допустить пользователей к управлению группами, которыми владеют, но они не могут позволить им создавать новые группы. На экране 2 отображены некоторые свойства, которыми могут управлять владельцы групп. При наличии Exchange 2010 SP1 пользователи могут управлять группами безопасности так же, как и списками DL, благодаря чему функции управления группами в ECP привлекли внимание многих организаций.

 

Настройка управления группой в ECP
Экран 2. Настройка управления группой в ECP

Другая возможность для конечного пользователя в ECP, на которую стоит обратить внимание, состоит в том, что в Microsoft называют delivery reports — «отчеты о доставке». Exchange 2010 объединяет общий интерфейс с традиционными журналами трассировки сообщений, позволяя пользователям просматривать состояние отправленных сообщений. Чтобы ускорить доступ к журналам, Exchange теперь хранит индексы вместе с ними, что способствует быстрому поиску. Информацию из отчета о доставке — delivery report — можно получить несколькими способами.

Пользователи Outlook 2010 могут выбрать Delivery Reports в Outlook 2010 Backstage, и Outlook запустит веб-браузер и подсоединится непосредственно ECP. Пользователи OWA могут просматривать информацию в двух местах. Чтобы проверить статус конкретных отправленных сообщений, им достаточно щелкнуть правой кнопкой мыши на сообщении в папке «Отправленные» и выбрать пункт «Отчет о доставке». Интерфейс поиска также доступен в области Options вкладки Organize E-Mail, как показано на экране 3. Пользователи с привилегиями администратора получат дополнительную подробную информацию, просматривая отчеты о доставке.

 

Отчет о доставке для конечного пользователя
Экран 3. Отчет о доставке для конечного пользователя

Возможности делегирования администрирования

ECP включает несколько полезных функций, которые можно делегировать младшим администраторам или техническому персоналу, чтобы они могли самостоятельно обрабатывать запросы пользователей.

Обычные примеры включают изменение свойств учетной записи пользователя или группы; изменение настроек почтового ящика, таких как правила Inbox или функции Out of Office, а также отслеживание сообщений на уровне организации.

Технические специалисты, которым предоставлен соответствующий доступ, могут управлять многочисленными свойствами почтового ящика пользователя, помимо тех, права на которые делегированы конечному пользователю.

Возьмем, как пример, возможность добавлять или удалять дополнительные адреса электронной почты для почтового ящика. Хотя управлять можно только существующими почтовыми ящиками, группы и контакты можно создавать или удалять через ECP.

Сотрудники службы поддержки часто принимают звонки от пользователей, которым необходима помощь в изменении настроек почтового ящика или выполнении простых задач, таких как настройка сообщения об отсутствии Out of Office. Имея достаточные права доступа, сотрудники службы поддержки могут открыть тот же экран Options, что и пользователь, и изменять настройки от его имени. Exchange ограничивает таких сотрудников в изменении настроек, к которым есть доступ у конечного пользователя, так что здесь не обойтись без разрешений на организационном уровне. Все эти функции могут быть делегированы без предоставления доступа к актуальному содержимому почтовых ящиков.

Имея в своем распоряжении Exchange 2010 Enterprise CAL, вы можете воспользоваться возможностью поиска по нескольким почтовым ящикам для выполнения поиска во всей организации или группе почтовых ящиков. До Exchange 2010 эта задача зачастую требовала дорогостоящих инструментов сторонних компаний или значительных временных затрат администраторов Exchange.

В Exchange 2010 права на поиск в нескольких почтовых ящиках могут быть делегированы пользователю из юридического отдела, который может выполнить обследование без вмешательства администратора Exchange. Более полную информацию о данной функции можно найти в статье «Поиск по нескольким почтовым ящикам на сервере Exchange2010», опубликованной в «WindowsITPro/RE» № 2 за 2011 год.

Наконец, интерфейс экрана отчетов о доставке Delivery Reports (экран 3) имеет дополнительное поле «Фильтровать сообщения по отправителю» в том случае, когда пользователи получают доступ с повышенными разрешениями. Это дает возможность администраторам или сотрудникам службы поддержки с соответствующими правами отслеживать путь сообщения, когда они получают запрос конечного пользователя о статусе данного сообщения. Ранее такой запрос направлялся администратору Exchange.

Функции администратора

Наконец, ECP включает набор важных функций для администраторов Exchange. К сожалению, ECP допускает некоторую нечеткость в условиях, где должны быть выполнены определенные задачи. Подавляющее большинство задач можно выполнить с помощью Exchange Management Console (EMC); однако некоторые задачи выполняются как в EMC и ECP, так и только через ECP.

К задачам, которые можно решить только через ЕСР, относятся управление настройками RBAC, управление соглашениями по именованию групп, управление карантином устройств Microsoft ActiveSync и выполнение различных аудиторских отчетов. Через ЕМС решаются также некоторые дополнительные задачи, такие как настройка правил транспорта, ведение журнала сообщений и отслеживание политик ActiveSync и сообщений. Конечно же, задачи управления группой и почтовыми ящиками, рассмотренные ранее, также могут решаться через EMC.

Exchange 2010 SP1 в значительной степени улучшил функции управления RBAC в ECP и заметно ослабил необходимость выполнения задач с помощью Exchange Management Shell (EMS). Наиболее общие задачи, такие как управление членством в ролевой группе или создание новой ролевой группы, возможны через графический интерфейс. Роли могут быть добавлены к ролевым группам, и вы можете изменить диапазон (к примеру, organizational unit, OU) и членство ролевой группы, как показано на экране 4.

 

Управление ролевой группой Help Desk через RBAC
Экран 4. Управление ролевой группой Help Desk через RBAC

Соглашения по именованию группы — еще один новый аспект в Exchange 2010 SP1. Это свойство доступно только через ECP. Вы можете задействовать функцию соглашений по именованию группы, чтобы наложить политики на группы, которые пользователям разрешено создавать через ECP. Можно применить такие политики, как включение префикса для всех имен групп или требование, чтобы название отдела пользователя было включено в имя группы (например, вы захотите, чтобы все ваши группы начинались с DL-, и включите в создаваемую группу название отдела пользователя, например DL-IT — для группы, созданной пользователем из отдела IT). Также вы можете указать слова, которые не должны содержаться в названии группы.

Exchange 2010 включает функцию, известную как правила доступа мобильных устройств ActiveSync Device Access Rules, позволяющую администраторам управлять типами мобильных устройств, которым разрешено подключаться к серверу Exchange. Настройка данной функции возможна в ECP, где вы выбираете сначала Manage My Organization, затем Phone & Voice и ActiveSync Access. Вы можете задействовать эту функцию, чтобы ограничить доступ, основываясь на марке и модели устройства. Учитывая эту информацию, вы можете разрешать, блокировать или помещать в карантин устройства, которые подключаются впервые. Устройства, находящиеся на карантине, должны получить разрешение администратора на синхронизацию.

К сожалению, стандартов в детализации информации о марке и модели устройства не существует, и здесь все зависит от протокола ActiveSync. Каждый поставщик, реализующий протокол ActiveSync, может выбрать, какую информацию предоставить в полях о марке или модели, а также способ ее форматирования. На экране 5 показано правило доступа для мобильного устройства, устанавливающее карантин на iPhone, подключаемый впервые.

 

Задание правила доступа для мобильного устройства
Экран 5. Задание правила доступа для мобильного устройства

Exchange 2010 SP1 улучшает аудит, упрощая составление отчетов на основе данных, собранных в результате процесса аудита. Некоторые отчеты включены и могут быть доступны через ECP (например, просмотр файлов аудита действий администратора и отчеты о доступе к почтовому ящику). В отчетах, передаваемых в текстовом формате или XML, нет достаточной детализации информации, и в них может содержаться слишком много данных. Поэтому различные команды PowerShell (например, Search-AdminAuditLog), связанные с такими отчетами, могут оказаться более удачным решением.

За пределами EMC

ECP в Exchange Server 2010 представляет собой новый веб-интерфейс, обеспечивающий большую гибкость для конечных пользователей, технических специалистов, пользователей с делегированными правами администраторов и администраторов Exchange. С помощью ECP можно управлять многочисленными свойствами Exchange, включая большинство параметров почтового ящика. Некоторые функции Exchange, которые не представлены в EMC, доступны через графический веб-интерфейс ECP, что позволяет сократить число задач, которые доступны только при использовании PowerShell.

Брайан Десмонд (brian@briandesmond.com) — старший консультант компании Moran Technology Consulting (Чикаго). Имеет сертификат Directory Services MVP. Автор книги «Active Directory», ведет блог www.briandesmond.com