3.2.2管理Exchange收件人对象---安全组

大家都知道，针对活动目录来讲，根据作用范围可以分为通用、全局和域本地；而其类型可以分为用于通信的通讯组和用于权限指派的安全组。之前讲述了在Exchange Server 2013中通讯组的管理，那么在企业中还可能出现对于一些用户，他们可能需要对某些资源相同的访问权限，而且有需要接收发送给他们的群发邮件。比如，一个项目组的成员，他们都需要访问某个UNC路径内容，而且由于项目需要，经常要同时该组用户群发邮件。那么这种情况就可以使用安全组，并在Exchange Server 2013中针对该安全组启用邮件功能。这样就不需要单独为邮件和权限分别建立两个不同的组了。

但由于安全组可用于权限指派，所以建议在规划是需要特别谨慎，以免出现将不合适的收件人对象误添加到安全组中，导致权限泄露。

一、通过EAC管理安全组

1、通过IE访问https://exchange-server(FQDN)/ecp打开EAC。在Exchange管理中心窗口中，点击导航栏中的“收件人”，选择右边窗口导航条中的“组”，点击添加“+”按钮，在下拉菜单中选择“安全组”。

2、在“新建安全组”窗口中定义该通讯组的“显示名称”和“别名”。和通讯组一样，“别名”将直接影响通讯组的邮件地址。

由于安全组涉及到权限指派，所有其成员自助加入将不被自由开放。在此有两种选择：

I、默认不勾选“需要所有者审批”，那么用户在自行加入该组是会被提示“已自动拒绝加入请求”。

II、勾选“需要所有者审批”，则用户在加入是会被提示“加入请求需要审批”。

3、对于现有安全组可以通过在EAC中双击要配置的通讯组来进行相应的管理，由于该属性窗口的大多数选项卡与通讯组相似，在此不再累述。仅介绍不相同的选项卡――“成员身份审批”。

该选项卡只有一个选择项，就是之前控制是否允许用户自助加入的选项。设置方法和作用与创建时相同。但是需要注意，如果该组对象不是通过Exchange创建的，而且通过活动目录管理员基于活动目录创建后，再通过Exchange启用邮件功能的可能会遇到“组 不受任何收件人管理，但MemberJoinRestriction属性被设置为ApprovalRequired。”的告警：

此时，需要确认当前配置用户是否在该组的“所有权”列表中，如果不在，请将当前用户添加到该列表。默认情况下，该列表为空。在进行添加是会收到不是该组管理者，权限不足的通知。此时，需要在“活动目录用户和计算机”控制台中，打开该组的属性对话框，选择“管理者”选项卡，指定相应的管理者。

二、通过EMS管理安全组

通过EMS管理安全组的命令和管理通讯组的命令类似，均使用关键名词“DistributionGroup”。

看到这个词，估计绝大部分早期Windows活动目录的管理员就会高兴了，这不就是Windows Server 2000活动目录中的“分布式组”吗？的确，现在活动目录中的“通讯组”但是就叫“分布式组”。

1、通过Get-DistributionGroup现有所有启用的邮件的安全组，筛选其组类型为“MailUniversalSecurityGroup”，即：

Get-DistributionGroup-ResultSize unlimited -Filter {(RecipientTypeDetails -eq'MailUniversalSecurityGroup')}

2、使用Set-DistributionGroup来修改现有安全组的设置。比如，出于安全问题，需要将指定的安全组在用户邮件地址列表中隐藏。

Get-DistributionGroup-ResultSize unlimited -Filter {(RecipientTypeDetails -eq'MailUniversalSecurityGroup')} | Set-DistributionGroup-HiddenFromAddressListsEnabled $true

该设置一旦生效，在EAC中能够确认其存在：

但在用户客户端的邮件地址列表中却没有显示：

3、通过Enable-DistributionGroup为活动目录中现有安全组启用邮件功能。

Enable-DistributionGroup"Beijing Sales" -Alias bjsales

转自：胖哥技术堂