RSS

挖坑文02 (不轻松的)调节exchange 用户的地址簿显示

08 Mar

各位ITpro们,大家在管理exchange 2007的时候,是否遇到过这样的需求:

1、按部门显示用户列表

2、不同部门间显示不同的用户列表

本文就来挖挖这个坑。

———————–

首先,我们来挖挖需求1/按照部门来显示用户列表

这个问题目前有2个解决方案:

1、winos以前的文档有人共享过HAB

这个软件我用过,虽然安装方面很简单,但是不好维护(安装后生成结构地址簿后就不会再更新新用户了)。而且据某砖家说,该软件是微软内部工程师的练习之作,上不得正式生产环境。只能放弃

2、在ems或者emc中手动制订地址列表。

在我这里有一个初始环境,首先来新建一批用户。我这里使用的是dsadd批量添加。你可以参照 详细描述如何ad添加用户和批量添加邮件 这篇文档来测试。本文的添加用户的示例脚本可以下载可以用用这个 http://cid-f934535afc3723ba.skydrive.live.com/self.aspx/.Public/test%20related/1-adduser.zip

我这里新建了一批用户,设置为不同的部门。

创建地址列表。

 

你可以使用emc或者ems来新建地址列表,我这里使用的ems创建列表

现在emc中已经可以看到新建的地址簿了。

为了客户端查看方便,我设置了一个父地址簿容器,其内为空。在其下设置了4个部门的地址簿。

下面我登录一个邮箱来查看一下效果

地址簿的显示的确如我所设置的那样,用户看到了自定义的地址簿,但是比较丑。

我来使用outlook以mapi方式连接到邮箱,查看地址簿列表

稍微好看了点。 

那么owa的地址簿显示如何才能变得更漂亮些呢?这个坑先留着,等人挖一下。

等等,有人说了:自定义地址簿我倒是会,可是新建地址簿,在emc中列出的支持属性只有18条,而且还有那些自定义的值在dsa.msc中并没有显示,我怎么样才能更多的自定义呢?

的确如这个高人所言。这个问题的解答呢,请看ems中的截图

使用get-mailbox h1hr | fl查看,你会发现用户mailbox属性中并没有太多的属性。我想这应该是ex12开发团队偷懒了。

使用get-help Set-AddressList,你会发现可以使用的开关中也只有emc中呈现的18条。

不过开发团队还是为我们留下了15个可以自定义的设置

你可以使用ems为用户添加上不同的属性。电话,楼层,小蜜名字这些设置还用我教你么?

抱怨一下,这里不同的选项之间是只能是交集的关系,如果能实现并集的关系就好了。

通过上面的介绍,大家应该都可以非常轻松的搞定部门列表、地区列表之类的需求了吧。那你是不是还有一个想法让不同的用户都可以看到不同的地址簿呢?

———————————–

我开始挖坑了:不同部门间显示不同的用户列表

如果你接触exchange2007稍微多一点,肯定一拍脑瓜子,我靠!这个需求太好满足了,把用户放置到不同的数据库中,给每个数据库分一个不同oba就可以了!但是实际上是这样的么?

我这里设定一个需求
sales部门只能看到自己部门的邮件地址,
account只能看到自己部门的邮件地址,
office和hr能看到office和hr两个部门的地址。

接上文,地址列表已经创建好了。下面我来创建3个新的地址簿,仅包含部门地址簿

下面我创建3个数据库,给不同的数据库分配不同的离线地址簿

将不同的用户导入到不同的数据库中

到这里的设置应该就是楼上那位仁兄的排脑瓜做法了,那么下面用h1hr用户来检验一下:

a1、owa地址簿

用户能看到account用户!

a2、outlook地址簿

用户还是能看到account目录下的用户。

这是为什么呢?其实很简单,因为域内用户缺省是可以查看GAL的。GAL的中文名是全球地址簿,包含了所有没有被隐藏的mailbox 对象,包括用户,外部联系人,资源邮箱等。GAL同时也包含了所有的地址列表。所以单纯靠分配给不同的mailboxdatabase一个不同的脱机地址簿是无法达到我提到的要求2的。

那么怎样才能限制用户对gal的访问呢?其实这个需求有一个专门的名词:segregation。中文的意思是隔离。对应我这里的需求,只需要限制用户对gal的访问权限即可。

在ad中,对象是否可见是由list content权限控制的。用户在父目录拥有list content权限,那么该目录下的对象对用户就是可见的。ad拥有一个list object模式,默认是不启用的。因为启用后,当用户递交LDAP查询的时候,ad需要在查询的时候检查用户是否拥有list content权限。这会增加dc的负担,对ad的性能造成一定的影响。

Advertisements
 
 

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

 
%d bloggers like this: