Thursday, May 5, 2011

¿Cómo administrar grupos de distribución con grupos de seguridad en Exchange 2010?

Querid@ amig@ migrador,

Si has migrado desde Exchange 2003 a Exchange 2010, seguramante no has tardado mucho en darte cuenta las quejas de los usuarios acerca de que no pueden modificar los grupos de distribución que podían en el pasado. En Cómo administrar grupos que ya tengo en Exchange 2010?, se vé que en Exchange 2010, los usuarios tenían permisos para crear nuevos grupos de distribución y eliminar los grupos de distribución de su propiedad. Esto ayudó a algunos de sus usuarios, pero algunos todavía no pueden modificar sus grupos de distribución. Tienes que mirar en esto ....

Problema
Cuando el User1 intenta agregar un nuevo miembro al grupo de distribución DistributionGroup1, recibe este error:

"Los cambios en los miembros de las listas del grupo de distribución no se pudieron guardar. Usted no tiene permisos suficientes para realizar esta operación en este objeto."

"Changes to the distribution group list membership could not be saved. You do not have sufficient permissions to perform this operation on this object."

Figura 1: El usuario recibe un error de permisoscuando trata de modificar la lista de miembros desde Microsoft Outlook

Antes, el User1 fue capaz de agregar o quitar miembros los grupo de distribución mediante el uso de MsOutlook y no era necesario llamar al help desk para obtener ayuda. ¿Qué ha cambiado?
Habíendo ya configurado previamente SecurityGroup1 para que pueda ser administrado¿Alguien cambiól amembresía del User1? chequeas en el ADUC y todo sin cambios - el usuario sigue siendo un miembro de SecurityGroup1.
Figura 2: todavia es miembro del grupo de segurirdad a administrar 

A continuación, comprobar los configuración del grupo de distribución en ADUC para verificar que DistributionGroup1 todavía está siendo gestionado por SecurityGroup1.

Figura 3: El usuario todavia es miembro del geupo de seguridad que administra el grupo de distribución

Bueno, ¿y cuál es el problema aquí? Sabemos que migramos a Exchange 2010. Así que eche un vistazo a DistributionGroup1 en la EMC (que pone de manifiesto que es administrado por SecurityGroup1, pero también muestra un error "objeto no encontrado").

Figura 4: EMC muetra el error de  'Object not found' en el SecurityGreoup1


¿Por qué Exchange 2010 hace esto?

Este comportamiento es por diseño. En Exchange 2010, los grupos de distribución no pueden ser manejados por grupos - sólo usuarios individuales pueden gestionar grupos. Si es posible en Exchange 2003, puede utilizar grupos para gestionar un grupo de distribución. La administración del grupo era manejado en un nivel diferente. Ahora que estos buzones se han movido a Exchange 2010, entonces los miembros de estos grupos no puede modificar el grupo.

Entonces, ¿hay soluciones?

MS Exchange Team ha creado un script para evitar esta limitación. Descargar Set-DistributionGroupOwners.ps1 desde el Script Center.

Este script le permitirá simular un grupo que tiene la administr5ación de un grupo de distribución en Exchange 2010. Dicho script se puede ejecutar en tres modos diferentes dependiendo de los switches que les pasen

Modo 1 - Seteo de ownership de un grupo de distribución en particular.Modificaciones al atributo ManagedBy no se establecen en ese momento. Es simplemente modificar un atributo personalizado (custom attribute) para tener la información necesaria más tarde, cuando el script establece el atributo ManagedBy.

Modo 2 -
Modificar el atributo ManagedBy de un grupo de distribución específico, para que los miembros del grupo de seguridad o del grupo de distribución pueda manejarlo.

Modo 3 - Está diseñado para ser ejecutado como una tarea programada y asegurar que los miembros individuales de un grupo tienen el ownership del grupo de distribución que fue seterado. Este modo se utiliza, si lo prefieres para automatizar el proceso y tal vez se ejecute todas las noches en busca de cualquier cambio de grupo de seguridad y miembros grupos de distribución.

¿Y cómo corre esto?
1.Windows 2008 R2 es necesario para ejecutar los script. Era necesario para poder soportar a grupos de seguridad administren grupos de distribución. No es necesario que sea ejecutado en un servidor de Exchange, pero las herramientas de administración de Exchange deben estar instaladas.

2.Descargue el script. Dicho script Set-DistributionGroupOwners.ps1 ya está disponible en TechNet Script Center. Descárgalo y cambia los extensión de archivo. ps1. Recomiendo Set-DistributionGroupOwners.ps1.

3.Decide que CustomAttribute lo que se puede utilizar en su entorno. El script completará el nombre completo (DN) del grupo (especificado en los atributo ManagedBy del grupo de distribución que desea administrar) en un CustomAttribute. De forma predeterminada, usa el CustomAttribute5, pero esto se puede cambiar fácilmente para utilizar uno de los 15 atributos personalizados del esquema del AD.
Encuentra lo de abajo en el script DistributionGroupOwners.ps1:
                   $ dn_storage = "CustomAttribute5"
Y cambiá CustomAttribute5 al atributo personalizado de su elección.
Ahora estás listo para ejecutar el script.

Modo 1 - Set Ownership de un GrupoEn este modo, corre el script con ambos parámetros -DistributionGroup y –GroupOwner .Especificar el distribution group (-DistributionGroup) y el groupo que queres administrar (-GroupOwner).Esto seteará el DN del dueño del grupo –GroupOwner dentro del CustomAttribute que especificaste en -DistributionGroup.
Para tener al DistributionGroup1 administrado por SecurityGroup1, deberias correr lo sigueinte:


Figura 6: el  script completa el atributo ManagedBy  del distribution group con los miembros individuales de le grupo dueño

El reporte de arriba muestra que el CustomAttribute5 se completa con el DN de SecurityGroup1 y el atributo ManagedBy lista solamente SecurityGroup1. El Modo 2 es necesario para que los miembros de SecurityGroup1 puedan modificar el grupo DistributionGroup1.

Modo 2 - Modificar el atributo ManagedBy de un Grupo
Ni el Modo 2, ni el modo 3, funcionará hasta que haya establecido el valor del custom attribute con el DN del dueño del Grupo .Si ya has corrido el script en el modo 1, entonces el Modo 2 se configura el atributo ManagedBy para un solo grupo. Para ejecutar en modo 2, sólo tiene que especificar el switch -DistrubitionGroup y DL que desea ser procesada.

En nuestro ejemplo, tenemos el grupo, DistributionGroup1. Este paso, establecerá los miembros del grupo propietario en el atributo ManagedBy. Estos parámetros son listados por nombre individual.
 Mode 3 – Correr el Script como una Scheduled Task para ver todas la nuevas modificaciones de Group Ownership
Figura 5: El script escribe en el custom attribute el DN del grupo dueño

El script está diseñado para ejecutarse en este modo, ya sea como un tipo de operación cuando usted sabe que las actualizaciones son necesarias o como una tarea programada para mantener todo sincronizado. Un punto clave es que al rellenar los atributo ManagedBy, sobrescribe los valores existentes con los miembros actuales del grupo propietario.
Cuando se ejecuta el script sin modificadores, buscará en AD para todos los grupos que tienen en el custom attribute un DN. A continuación, procesará todos ellos como en el Modo 2.
Nota: Este script en su forma actual, no funciona con los grupos anidados. Sólo alcanzará a los miembros del grupo que aparece en la lista en el custom attribute definido. Actualmente no hay planes para añadir la funcionalidad de grupo anidado en el script.
Muchas gracias al Exchange team por ofrecernos esta ayuda: pueden ver el articulo completo: http://blogs.technet.com/b/exchange/archive/2011/05/04/how-to-manage-groups-with-groups-in-exchange-2010.aspx


-Dario

1 comment:

Note: Only a member of this blog may post a comment.