quinta-feira, novembro 23, 2017
Breaking News
Home » Artigos » Trabalhando com grupos de distribuição e listas de endereços no Exchange 2010

Trabalhando com grupos de distribuição e listas de endereços no Exchange 2010

Os grupos de distribuição (distribution groups) e as listas de endereços são extremamente importantes na administração do Microsoft Exchange Server 2010. Um planejamento cuidadoso dos grupos e listas de endereços da organização pode, a longo prazo, economizar inúmeras horas. Infelizmente, a maioria dos administradores não tem um entendimento sólido desses assuntos e os poucos que têm gastam grande parte do tempo com outras tarefas. Para economizar seu tempo e frustração, estude os conceitos abordados neste artigo e, em seguida, use os procedimentos para implementar os grupos e as listas na sua organização.

Usando grupos de distribuição e segurança

Use os grupos para conceder permissões a tipos semelhantes de usuários, para simplificar a administração de contas e facilitar o contato com vários usuários. Por exemplo, você pode enviar uma mensagem endereçada a um grupo e a mensagem irá para todos os usuários desse grupo. Assim, em vez de inserir 20 endereços de email diferentes no cabeçalho da mensagem, você insere um endereço de e-mail para todos os membros do grupo.

Tipos de grupo, escopo e identificadores

O Windows define vários tipos diferentes de grupos e cada um desses grupos pode ter um único escopo. Nos domínios do Active Directory, você usa três tipos de grupo:

  • § Security: Use grupos de segurança para controlar o acesso aos recursos da rede. Você também pode usar grupos de segurança definidos pelo usuário para distribuir e-mail.
  • § Standard distribution: Os grupos de distribuição padrão (Standard Distribution) têm membros fixos e você os utiliza somente como listas de distribuição de emails. Não é possível usar esses grupos para controlar o acesso a recursos da rede.
  • § Dynamic distribution: Os membros dos grupos de distribuição dinâmica (Dynamic distribution) são determinados com base em uma consulta LDAP (Lightweight Directory Access Protocol); use esses grupos somente como listas de distribuição de e-mail. A consulta LDAP é usada para construir a lista de membros sempre que as mensagens são enviadas para o grupo.

Nota Os grupos de distribuição dinâmica criados para o Exchange Server 2007 são compatíveis com o Exchange Server 2010. Entretanto, os grupos de distribuição dinâmica criados para o Exchange Server 2003 ou o Exchange 2000 Server não são compatíveis com o Exchange Server 2010 e não são exibidos no Exchange Management Console. Você pode resolver isso forçando uma atualização. Consulte “Modificando os grupos de distribuição dinâmica usando os cmdlets”, mais adiante neste capítulo para obter mais detalhes.

Os grupos de segurança podem ter escopos diferentes – domínio local, global e universal – para que sejam válidos em áreas diferentes da floreta do seu Active Directory. Com o Exchange Server 2003, você também pode criar grupos de distribuição com escopos diferentes. Para simplificar o gerenciamento de grupo, o Exchange Server 2007 e o Exchange Server 2010 suportam apenas grupos com escopo universal. Você pode habilitar para e-mail os grupos de segurança com escopo universal e pode criar novos grupos de distribuição com esse escopo.

Mundo real Se sua organização tem grupos de segurança ou grupos de distribuição habilitados para e-mail com escopo global, você não conseguirá usar esses grupos com o Exchange Server 2007 e edições posteriores do Exchange. Você precisará criar uma nova arquitetura para seus grupos ou convertê-los em grupos universais. Usando o Usuários e Computadores do Active Directory, os administradores de domínio podem converter facilmente grupos globais em grupos universais. Basta clicar duas vezes na entrada do grupo, selecionar Universal sob de Group Scope e, em seguida, clicar em OK. Entretanto, algumas restrições de conversão se aplicam aqui. Por exemplo, você só pode converter um grupo globa se ele não for um membro de outro grupo global. Além disso, recomenda-se um planejamento prévio para determinar o impacto no Active Directory. Você também pode usar Set-Group para converter grupos.

Os grupos com escopo universal podem:

  • § Conter usuários e grupos de qualquer domínio na floresta
  • § Ser colocados em outros grupos e ter permissões atribuídas em qualquer domínio na floresta

Ao trabalhar com grupos de distribuição dinâmica, lembre-se de que o grupo pode incluir somente membros do domínio local ou pode incluir usuários e grupos de outros domínios, árvores de domínio ou florestas. O escopo é determinado pelo bloco apply-filter padrão que você associa ao grupo quando o cria. Mais especificamente, o bloco apply-filter padrão define a raiz da hierarquia da pesquisa e a consulta LDAP filtra os destinatários no bloco especificado e abaixo dele. Por exemplo, se o bloco Apply-filter que você associou ao grupo for cpandl.com, o filtro da consulta será aplicado a todos os destinatários desse domínio. Se o bloco apply-filter que você associou à unidade organizacional for Engineering, o filtro da consulta será todos os destinatários desse bloco e abaixo dele.

Como nas contas de usuários, o Windows usa SIDs (security identifiers) únicos para rastrear os grupos. Isso significa que você não pode excluir um grupo, recriá-lo com o mesmo nome e, em seguida, esperar que todas as permissões e privilégios permaneçam os mesmos. O novo grupo terá um novo S1D e todas as permissões e do grupo antigo serão perdidos.

Quando usar segurança e grupos de distribuição padrão

O Exchange Server 2007 e o Exchange Server 2010 alteram as regras anteriores sobre como você pode usar os grupos. Anteriormente, você podia usar os grupos os diferentes, mas agora só pode usar grupos com escopo universal. Como você talvez precise repensar como e quando usar os grupos, deve alterar o escopo de qualquer grupo global para universal antes que habilitá-lo para e-mail. Em vez de duplicar a estrutura do grupo de segurança existente com grupos de distribuição que têm a mesma finalidade, você pode, seletivamente, habilitar para e-mail os grupos de segurança universais, o que, então, e em grupos de distribuição. Por exemplo, se você tem um grupo de segurança Universal denominado Marketing, não precisa criar um grupo de distribuição MarketingDistList. Em vez disso, pode habilitar o e-mail do Exchange no grupo de universal original, o qual, então, se tornaria um grupo de distribuição, poderia também ativar para e-mail os grupos de segurança universais que definiu anteriormente. Então, se os grupos de distribuição existentes servirem ao mesmo propósito, você poderá excluí-los.

Para reduzir o tempo que os administradores gastam gerenciando os grupos, o Server 2010 define várias configurações de controle adicionais, incluindo:

  • § Group ownership: Os grupos de distribuição dinâmica, grupos de distribuição padrão e grupos de segurança habilitados para e-mail podem ter um ou nais proprietários. Os proprietários de um grupo são os usuários atribuídos como seus gerentes e podem controlar os membros do grupo. Os gerentes de grupo são listados quando os usuários visualizam as propriedades do grupo no Microsoft Office Outlook. Além disso, os gerentes podem receber relatórios de entrega para grupos se você selecionar a opção Send Delivery Reports To group Manager na guia Advanced.
  • § Mlembership approval Os grupos de distribuição padrão e grupos de segurança habilitados para e-mail podem ter membros abertos ou fechados. Existem configurações separadas para se unir e para sair de um grupo. Para se unir, o grupo pode ser aberto para permitir que os usuários se unam sem exigir permissão, fechado para permitir que somente proprietários e administradores do grupo adicionem membros ou requerer aprovação do proprietário para permitir que usuários solicitem ser membros de um grupo. As solicitações de membro devem ser aprovadas por um proprietário do grupo. Com relação à saída, um grupo pode ser aberto para permitir que os usuários saiam sem exigir aprovação do proprietário ou fechado para permitir que somente os proprietários e administradores do grupo removam os membros.

Sua ferramenta de gerenciamento preferida determinará suas opções para configurar o proprietário do grupo e a aprovação de membros. Quando você cria grupos de distribuição no Exchange Control Panel, pode especificar as configurações de proprietário e aprovação de membros quando criar o grupo e pode editar essas configurações a qualquer momento editando as propriedades do grupo. Quando você cria grupos de distribuição no Exchange Management Console, cria primeiramente o grupo e, em seguida, edita as propriedades para especificar as configurações desejadas para proprietário e aprovação de membro.

Quando usar os grupos de distribuição dinâmica

É fato que, ao longo do tempo, os usuários se moverão para departamentos diferentes, deixarão a empresa ou assumirão responsabilidades diferentes. Com grupos de distribuição padrão, você gastará muito tempo gerenciando os membros do grupo quando esses tipos de alterações ocorrerem — e é onde os grupos de distribuição dinâmica entram em cena. Com os grupos de distribuição dinâmica, não há membros fixos de grupo e você não precisa adicionar ou remover os usuários. Em vez disso, os membros do grupo são determinados pelos resultados de uma consulta LDAP enviada para o servidor Global Catalog (ou de expansão dedicado) da organização sempre que uma mensagem for enviada a um grupo de distribuição.

Os grupos de distribuição dinâmica podem ser usados com ou sem servidor de expansão dedicado. Você obterá a maioria dos benefícios da distribuição dinâmica sem um servidor de expansão dedicado quando a lista de membros retornada nos resultados for relativamente pequena (menos de 25 membros). Entretanto, na possibilidade de centenas ou milhares de membros, a distribuição dinâmica é ineficiente e pode exigir uma grande quantidade de processamento para ser concluída. Para resolver esse problema, você pode deslocar os requisitos de processamento do servidor Global Catalog para um servidor de expansão dedicado (um servidor cuja única tarefa é expandir as consultas LDAP). Entretanto, ele poderá demorar ainda vários minutos para resolver e expandir grandes listas de distribuição.

Outro ponto a ser destacado na distribuição dinâmica é que você pode associar apenas uma consulta específica a cada grupo de distribuição. Por exemplo, você pode criar grupos separados para cada departamento na organização. Você pode ter grupos denominados QD-Accounting, QD-BizDev, QD-Engineering, QD-Marketing, QD-Operations, QD-Sales e QD-Support. Por sua vez, você criará um grupo de distribuição padrão ou um grupo de distribuição dinâmica denominado AllEmployees que contém esses grupos como membros — com isso, uma hierarquia de grupo de distribuição é estabelecida.

Ao usar vários parâmetros com a distribuição dinâmica, lembre que múltiplos parâmetros normalmente funcionam como operações lógicas AND. Por exemplo, se você criar uma consulta com um parâmetro que faça a correspondência de todos os funcionários do estado de Washington com todos os funcionários do departamento de Marketing, os resultados da consulta não conterão uma lista de todos os funcionários em Washington ou de todos os funcionários de Marketing. Em vez disso, os resultados conterão uma lista de destinatários que estão em Washington e que são membros do grupo Marketing. Nesse caso, você obtém os resultados esperados criando um grupo de distribuição dinâmica para todos os funcionários do estado de Washington, outro grupo de distribuição dinâmica para todos os funcionários de Marketing e um grupo que tem como membros os outros dois grupos de distribuição.

Trabalhando com grupos de segurança e de distribuição padrão

Ao resolver trabalhar com grupos, você perceberá que algumas tarefas são específicas para cada tipo de grupo e algumas tarefas podem ser executadas com qualquer tipo de grupo. Nesta seção, você aprenderá sobre as tarefas típicas que executará com os grupos de segurança e de distribuição padrão. Você pode usar o Exchange Management Console ou o Exchange Management Shell para trabalhar com grupos.

Criando grupos de segurança e de distribuição padrão

Use os grupos para gerenciar permissões e para distribuir e-mail. Quando você decidir criar grupos, lembre-se de que você o faz para tipos semelhantes de usuários. Conseqüentemente, os tipos de grupos que você talvez queira criar são os seguintes:

  • § Grupos para departamentos dentro da organização: Geralmente, os usuários que trabalham no mesmo departamento precisam acessar recursos semelhantes e devem fazer parte das mesmas listas de distribuição de e-mail.
  • § Grupos para funções dentro da organização: Você pode também organizar grupos de acordo com as funções dos usuários dentro da organização. Por exemplo, você poderia usar um grupo denominado executivos para enviar e-mail para todos os membros da equipe de executivos e um grupo denominado gerentes para enviar email para todos os gerentes e executivos na organização.
  • § Grupos para usuários de projetos específicos: Frequentemente, os usuários que trabalham em um projeto importante precisam de uma forma de enviar e-mail para todos os membros da equipe. Para resolver esse problema, você pode criar um grupo especificamente para o projeto. É possível criar os grupos de duas maneiras. Você pode habilitar para email um grupo de segurança universal existente ou pode criar um grupo de distribuição inteiramente novo.

Bom, aqui falamos um pouco sobre grupos de distribuição no Exchange 2010. Breve mais artigos. Obrigado pessoal e até a próxima!

Sobre Diego Duarte

Diego Duarte Atua como coordenador de NOC, toca um violãozinho nas horas vagas e tenta eternamente entender o que o fez escolher TI

Veja também!

Exchange – Exibindo e alterando a opção “Require that all senders are authenticated”

Quem já trabalha com serviço de email, sabe da importância e da facilidade que os grupos de distribuição inserem no gerenciamento das contas e contatos. Hoje veremos como alterar em massa, pelo EMS (Exchange Management Shell) a propriedade "Require that all senders are authenticated"

2 comentários

  1. Leonardo

    qdo replico as regras no exchange, demora 24h para ativar. Por exemplo: adiciono uma conta de email no grupo de distribuição. Somente no dia seguinte o usuário enxerga a regra aplicada. Como resolver?

Este artigo lhe foi útil? comente e ajude outros acrescentando seu ponto de vista!