Evident, orice sistem informatic preconfigurat necesită, în consecință, nu numai o monitorizare constantă, ci și posibilitatea accesului ușor la funcțiile de management. Dacă procesul de implementare poate apărea direct de la consola de server, atunci problemele de administrare sunt extrem de incomode pentru a rezolva acest lucru. Cred că cititorul va fi de acord cu mine dacă spun că în marea majoritate a organizațiilor de servere nu sunt deloc unde stau administratorii lor, adică nu puteți să purtați pur și simplu un scaun și să obțineți acces direct la consola de servere. Și dacă da, atunci cerința personalului tehnic este absolut justificată și au instrumentele necesare pentru a-și îndeplini sarcinile "fără a se ridica de la locul de muncă". Cineva aici poate să spună că pentru acest lucru există deja un desktop de la distanță Windows și nu există nimic care să "reinventeze roata".
În ce măsură acest lucru este adevărat, dar utilizarea PDR nu este întotdeauna convenabil și nu este acceptabil, în unele cazuri. Incomod pentru că dacă aveți o mulțime de servere care se conectează la fiecare dintre ele un pic obositoare, este mult mai ușor de a deschide o consolă locală PowerShell și au deja o conexiune cu toate acestea, sau executați Consola instalat local Exchange Management și să lucreze cu toate serverele simultan, dar deja prin interfața grafică. Și nu este acceptabilă, pentru că de multe ori există situații în care angajatul trebuie să fie delegat una sau două etape bine definite, prin urmare, l-au lăsat în sesiunea de server terminal este nu destul de corect din punct de vedere de securitate, este mult mai bine dacă el este doar un set de încredere de chei în EMC și permis doar cmdlets în EMS.
Conectare la distanță
Figura 1: Directorul virtual PowerShell din Managerul IIS.
Pregătirea utilizatorului
Înainte de a oferi utilizatorului posibilitatea de a accesa de la distanță organizația Exchange, trebuie să determinați lista drepturilor pe care doriți să le delegeți.
RBAC este un subiect separat descris mai devreme în blogul meu, aici dau doar un exemplu de delegare a utilizatorului dreptul de a efectua operațiuni de import / export de cutie poștală.
Acest rol este asociat doar cu grupul de organizare a organizațiilor. care are doar dreptul de a delega. Am aflat acest lucru folosind comanda:
Get-ManagementRoleAssignment -Role "Importul importului de cutii poștale" fl Identitatea
Prin urmare, prin conectarea la serverul Exchange din cadrul contului care face parte din grupul de gestionare a organizației, putem delega execuția cmdlet-urilor necesare în cel puțin două moduri:
1. Asociați direct utilizatorul cu rolul Mailbox Import Export. conferindu-i astfel dreptul de a executa cmdlet-uri care sunt în acest rol:
New-RoleAssignement -Role "Importul importului căsuței poștale" -Utilizator utilizator1
După cum înțelegeți, aceasta nu este exact cea mai bună abordare a delegării autorității, deoarece În timp, se vor acumula atât de multe conexiuni, încât pur și simplu nu le puteți înțelege. Este mult mai corect să folosiți o abordare diferită:
2. Creați un grup de roluri, de exemplu RemoteAdmins. să includă în el toate rolurile care sunt planificate să le delege angajaților și să adauge angajații direct la grupul de roluri. Aceasta se face prin comanda:
New-RoleGroup - numele "administratorilor de la distanță" -Roles "Importul importului cutiei poștale" -Membri Utilizator1
Pentru cmdlet-ul New-RoleGroup, puteți adăuga parametri precum -DisplayName și -Description.
Acum, dacă mergem la Active Directory, vom vedea că avem un nou grup de securitate RemoteAdmins în MicrosoftExchangeSecurity OU. care a devenit membru al utilizatorului1.
De asemenea, apartenența la grupurile de rol RBAC este ușor de gestionat prin intermediul ExchangeControlPanel. așa cum se arată în figura 2.
Figura 2: Gestionarea calității de membru al grupurilor RBAC utilizând ECP.
După ce ați determinat ce cmdleturi va efectua utilizatorul la distanță, puteți permite gestionarea la distanță pentru acesta. Aceasta se face prin atribuirea valorii RemotePowerShellEnabled, contul de utilizator, la True cu comanda:
Setați-Utilizatorul YourUser -RemotePowerShellEnabled $ Adevărat
Activând permisiunea pentru o conexiune la distanță la PowerShell, puteți trece mai departe.
Gestionarea prin Consola de administrare Exchange (EMC)
Figura 3: Instalarea instrumentelor de gestionare a schimbului.
Trebuie să rețineți că puteți instala instrumentele de gestionare Exchange doar pe sisteme de operare moderne, cum ar fi:
De asemenea, comenzile pot fi instalate în modul automat cu ajutorul comenzii
După instalarea consolei de gestionare grafică, trebuie să o deschideți și să vă conectați la serverul Exchange la distanță folosind acțiunea Add ForestExchange .... (vezi figura 4).
Figura 4: Conectarea la serverul Exchange pentru EMC.
Unul dintre avantajele utilizării la distanță Management Tools este că puteți, prin conectarea o singura consola, mai multe servere situate în diferite pădure Active Directory, pentru a efectua cutiile poștale între păduri în mișcare, creând o simplă cerere de mutare echipa NewMoveRequest.
Conectarea la Shell Management Management (EMS)
După ce sa ocupat de consola grafică, hai să mergem mai departe și să vedem cum să ne conectăm la server utilizând Exchange Shell.
Există două diferențe principale în pornirea EMS pe un computer la distanță și depind de faptul că Instrumentele de gestionare sunt instalate pe computer sau nu.
Conectați-vă la EMS dacă aveți Instrumente de administrare
Dacă executați EMS de pe un computer care are deja instalat Instrumente de gestionare, se întâmplă următoarele:
Notă: Pentru a conecta la un alt serveruExchangeiz sessiiEMS deja deschis, aveți nevoie pentru a rula propria funcție Connect-ExchangeServer, arătând spre setarea ei -autodlya căutare automată server sau opțiunea -ServerFQDN pentru a se conecta la un anumit server.
Conectarea la EMS fără Instrumente de administrare
Dacă instrumentele de gestionare nu sunt instalate pe computer, procesul de conectare va fi puțin diferit. Pentru comoditate, îl împărțim în două etape:
- · Creați o sesiune PowerShell;
- · Importați sesiunea de server creată în sesiunea PowerShell locală.
Pentru a crea o nouă sesiune, utilizați cmdletul New-PSSession. Astfel, dacă doriți să vă conectați la serverul de sub un cont pe care îl lucrați acum, acreditările de utilizator nu sunt necesare, dar dacă doriți să utilizați datele de conectare ale altui utilizator, acestea trebuie să indice în parametrul -Credential. după ce ați primit anterior cmdletul Get-Credential. În acest caz, trebuie să știți că serverul se autentifică în mod implicit cu Kerberos. Pentru a utiliza o metodă de autentificare diferită, trebuie să o specificați în parametrul -Authentication. Ca rezultat, comanda ar putea arata cam asa:
Fig.5: Creați o nouă sesiune PowerShell.
Notă. Calculatorul de la care se face conexiunea trebuie să intre în domeniu și, în același timp, trebuie să permită executarea scripturilor descărcate semnate de autoritatea de certificare de încredere, utilizând comanda Set-ExecutionPolicy RemoteSigned. Valoarea implicită este Restricționată. interzicând executarea oricărui script.
Apoi, va trebui să importați sesiunea de server în sesiunea locală PowerShell. Pentru aceasta, folosim cmdlet Import-PSSession:
Când procesul este complet, în secțiunea ExportedCommands, puteți vedea lista cu cmdlet-uri importate. De asemenea, puteți obține o listă de cmdleturi disponibile utilizând comanda Get-Command.
Acum puteți lucra ca și cum ați fi direct pe un server de la distanță.
După ce ați terminat lucrarea, nu uitați să întrerupeți sesiunea stabilită cu comanda
Automatizarea conexiunii la serverul Exchange prin PowerShell
Dacă lucrați pe un calculator cu instrumentele de gestionare Exchange, atunci vă faceți griji mai ales despre, aveți o comandă rapidă pentru conexiune gata de a EMS, dar dacă aveți controalele nu sunt instalate, de a crea în mod constant sesiunea de conectare la server este foarte supărătoare. Să vedem cum poate fi facilitată această procedură.
Văd cel puțin două modalități de a rezolva această problemă:
1. Salvați scriptul pentru crearea unei sesiuni PowerShell ca script (de exemplu, c: \ EMS.ps1) și importați-o în sesiunea dvs. locală și executați acest script de fiecare dată când aveți nevoie să vă conectați la serverul Exchange. În acest caz, când executați scriptul, trebuie să utilizați o comandă rapidă în care va fi specificată următoarea comandă:
powershell.exe -NoExit - comanda c: \ EMS.ps1
Notă: Parametrul -NoExit este necesar pentru ca fereastra PowerShell să nu fie închisă după executarea scriptului.
2. Fie importați lansarea Exchange Management Shell direct în profilul utilizatorului PowerShell, astfel încât de fiecare dată când porniți PowerShell, aveți o conexiune automată la Exchange. Acest lucru se face după cum urmează:
Dacă nu aveți deja un profil PowerShell, trebuie să îl creați
Fișier-profil de profil nou-element -Path -ItemType
Ca rezultat, fișierul Microsoft.PowerShell_Profile.ps1 va fi creat. în care puteți adăuga comenzile necesare. Este mai ușor să editați fișierul de profil în Notepad, executând comanda notepad $ profile.
Apoi, din nou, există două modalități de a adăuga Exchange Management Shell la profil și depind din nou de disponibilitatea Tools Management:
- • Dacă Management Tools nu sunt instalate, apoi se adaugă pur și simplu comenzile de mai sus a crea o sesiune PowerShell la distanță și imporți în profilul local de sesiune PowerShell:
- · Dacă Management Tools Exchange este disponibil, este înțelept să se integreze Exchange Management Shell în sesiune PowerShell în același mod în care ar fi deschis în mod independent, atunci când rulează prin comanda rapidă corespunzătoare. Pentru a face acest lucru, trebuie să adăugați la profil acele acțiuni care au fost discutate chiar la începutul acestei secțiuni:
Rezultatul acestei manipulări veți avea întotdeauna la îndemână sau de a crea o comandă rapidă pentru Exchange Management Shell pentru a se conecta, fie prin rularea sesiunii PowerShell, va avea deja integrat în cmdleturi Exchange.