通过 Policy and Automation Management(策略和自动化管理)节点,您可以访问 Microsoft Exchange 和用户主目录策略,以及内置和自定义策略。使用以下常见任务来提高企业安全性和数据完整性。
允许您定义 Microsoft Exchange 配置、邮箱策略、自动命名和代理生成规则。这些规则可以定义在助理管理员创建、修改或删除用户帐户时邮箱的管理方式。
可用于在助理管理员创建、重命名或删除用户帐户时,自动创建、重命名或删除主目录和主共享。用户主目录策略还允许您为 Microsoft Windows 服务器以及非 Windows 服务器上的用户主目录启用或禁用磁盘配额支持。
允许您定义 DRA 生成的口令的要求。
有关在 DRA 中管理策略的更多详细信息,请参见以下章节:
Exchange 提供了多种策略来帮助您更有效地管理 Microsoft Exchange 对象。Microsoft Exchange 策略允许您自动执行邮箱管理、实施别名和邮箱储存的命名约定,并自动生成电子邮件地址。
这些策略可以帮助您简化工作流程并维护数据完整性。例如,您可以指定在创建、修改或删除用户帐户时 Exchange 管理邮箱的方式。要定义和管理 Microsoft Exchange 策略,您必须具备相应权限,例如内置 Manage Policies and Automation Triggers(管理策略和自动化触发器)角色中所包含的权限。
要指定默认电子邮件地址策略,您必须具备相应的权限,例如内置 Manage Policies and Automation Triggers(管理策略和自动化触发器)角色中所包含的权限,并且您的许可证必须支持 Exchange 产品。
要指定默认电子邮件地址策略:
导航到 Policy and Automation Management(策略和自动化管理)> Configure Exchange Policies(配置 Exchange 策略)> Proxy Generation(代理生成)。
指定 Microsoft Exchange 服务器的域。
单击浏览。
根据需要指定其他搜索准则,然后单击 Find Now(立即查找)。
选择要配置的域,然后单击确定。
为所选域指定代理生成规则。
单击添加。
选择代理类型。例如,单击因特网地址。
接受默认值或键入新的代理生成规则,然后单击确定。
有关代理生成规则支持的替换字符串的更多信息,请参见Delegation and Configuration(委托和配置)客户端策略
单击 Custom attributes(自定义属性)以编辑自定义邮箱属性的自定义名称。
选择属性并单击 Edit(编辑)按钮。
在 Attribute Properties(属性)窗口中,在 Custom name(自定义名称)字段中输入属性名称,然后单击确定。
单击确定。
注:DRA 策略 Admin 应具有 Manage Custom Tools(管理自定义工具)的权限,以修改 Microsoft Exchange 策略中的自定义属性。
邮箱规则允许您指定在助理管理员创建、克隆、修改或删除用户帐户时 Exchange 管理邮箱的方式。邮箱规则将根据助理管理员管理关联用户帐户的方式自动管理 Microsoft Exchange 邮箱。
注:在 Microsoft Windows 域中启用 Do not allow Assistant Admins to create a user account without a mailbox(不允许助理 Admin 创建没有邮箱的用户帐户)选项时,请确保助理管理员有权克隆或创建用户帐户。启用此选项需要助理管理员使用邮箱创建 Windows 用户帐户。
要指定 Microsoft Exchange 邮箱规则,您必须具备相应的权限,例如内置 Manage Policies and Automation Triggers(管理策略和自动化触发器)角色中所包含的权限,并且您的许可证必须支持 Exchange 产品。
要指定 Exchange 邮箱规则:
导航到 Policy and Automation Management(策略和自动化管理)> Configure Exchange Policies(配置 Exchange 策略)> Mailbox Rules(邮箱规则)。
选择在创建或修改用户帐户时希望 Exchange 实施的邮箱策略。
单击确定。
要指定 Office 365 许可证策略,您必须具备相应权限,例如内置 Manage Policies and Automation Triggers(管理策略和自动化触发器)角色中所包含的权限。您的许可证还必须支持 Microsoft Exchange 产品。
如果要允许 DRA 管理 Office 365 许可证,则必须执行以下操作:
创建许可证强制策略。
在租户属性页上启用 license update schedule(许可证更新日程表)。
要创建用于实施 Office 365 许可证的策略,请单击 Delegation and Configuration(委托和配置)控制台中的 Policy and Automation Management(策略和自动化管理)节点,然后选择 New Policy(新建策略)> Create New Policy to Enforce Office 365 Licenses(创建新策略以实施 Office 365 许可证)。
当实施策略并将用户添加到 Active Directory 中时,DRA 会使用组成员资格自动将 Office 365 许可证指派给用户。
除非您还在租户属性页上启用 License update schedule(许可证更新日程表),否则在 DRA 之外进行更改时,不会应用您为实施 Office 365 许可证而创建的策略。许可证更新作业可确保指派给用户的 Office 365 许可证与您的 Office 365 许可证策略匹配。
许可证更新作业和 Office 365 许可证策略协同工作,以确保仅为所有受管用户指派其应该拥有的 Office 365 许可证。
注:
DRA 不会管理仅限联机使用的用户帐户的 Office 365 许可证。要使 DRA 能够使用 Office 365 许可证管理您的用户,必须将这些用户与 Active Directory 同步。
如果选择使用 DRA 管理 Office 365 许可证,则在下次运行许可证更新作业时,DRA 将覆盖在 DRA 之外对 Office 365 许可证所做的任何手动更改。
如果在确保正确配置 Office 365 许可证策略之前启用 Office 365 许可证更新作业,则在运行许可证更新作业后,指派的许可证可能不正确。
当您管理大量用户帐户时,创建和维护这些用户主目录和共享可能需要大量时间,并且可能成为安全错误的来源。每次创建、重命名或删除用户时都可能需要进行额外的维护。用户主目录策略可帮助您管理用户主目录和主共享维护。
DRA 允许您自动创建和维护用户主目录。例如,您可以轻松配置 DRA,以便管理服务器在您创建用户帐户时创建用户主目录。在这种情况下,如果在创建用户帐户时指定用户主目录路径,则服务器会根据指定的路径自动创建用户主目录。如果未指定路径,则服务器不会创建用户主目录。
在创建用户主目录或为允许的父路径中的用户配置用户主目录策略期间,DRA 支持分布式文件系统 (DFS) 路径。您可以在 Netapp Filer 和 DFS 路径或分区上创建、重命名和删除用户主目录。
要配置用户主目录、共享和卷磁盘配额策略,您必须具备相应权限,例如内置 Manage Policies and Automation Triggers(管理策略和自动化触发器)角色中所包含的权限。每个策略都会根据您管理关联用户帐户的方式自动管理用户主目录、共享和卷磁盘配额。
要配置用户主目录策略,请导航到 Policy and Automation Management(策略和自动化管理)> Configure Home Directory Policies(配置用户主目录策略)。
用户主目录
主共享
主卷磁盘配额
对于需要创建主共享的每台计算机,管理服务器服务帐户或访问帐户应是该计算机上的管理员或相应域中管理员组的成员。
DRA 管理和储存用户主目录的每个驱动器必须存在管理共享,例如 C$ 或 D$。DRA 使用管理共享来执行一些用户主目录和主共享自动化任务。如果这些共享不存在,则 DRA 无法提供用户主目录和主共享自动化。
要为 NetApp Filer 配置允许的父路径:
导航到 Policy and Automation Management(策略和自动化管理)> Configure Home Directory Policies(配置用户主目录策略)。
在 Allowable parent paths(允许的父路径)文本框中,输入下表中的一个允许的路径:
|
共享类型 |
允许的路径 |
|---|---|
|
Windows |
(\\FileName\adminshare:\volumerootpath\directorypath) |
|
非 Windows |
(\\non-windows\share) |
单击添加。
对于要应用用户主目录策略的每个允许的父路径,重复步骤 1 至 3。
为了与相应的 Microsoft Windows 安全策略保持一致,DRA 仅在目录级别创建访问控制限制。在共享名称级别和文件或目录对象级别设置访问控制限制,通常会导致管理员和用户的访问方案混乱。
当您更改主共享的访问控制限制时,DRA 不会更改该目录的现有安全性。在这种情况下,您必须确保用户帐户对其自己的用户主目录拥有相应的访问权限。
在修改用户帐户时,DRA 会通过管理用户主目录来自动执行用户主目录维护任务。创建、克隆、修改、重命名或删除用户帐户时,DRA 可以执行不同的操作。
要成功实施用户主目录策略,请考虑以下准则:
确保指定的路径使用正确的格式。
要指定单个用户主目录的路径,请使用下表中的一个模板:
|
共享类型 |
路径模板 |
|---|---|
|
Windows |
\\computer\share\. 例如,如果您希望 DRA 在 server01 计算机上的 Home Share(主共享)文件夹中自动创建用户主目录,请键入 \\server01\Home Share\ |
|
非 Windows |
\\non-windows\share |
要在相应主共享的根目录上标准化用户主目录管理,请使用 Universal Naming Convention(通用命名约定)语法,例如 \\server name\C:\根目录路径。
要指定嵌套用户主目录的路径,请使用下表中的一个模板:
|
共享类型 |
路径模板 |
|---|---|
|
Windows |
\\computer\share\first directory\second directory\ 例如,如果您希望 DRA 在 server01 计算机上的 Home Share 文件夹下的现有 JSmith\Home directory 中自动创建用户主目录,请键入 \\server01\Home Share\JSmith\Home。 |
|
非 Windows |
\\non-windows\share\first directory\second directory\ |
注:DRA 还支持以下格式:\\computer\share\username 和 \\computer\share\%username%。在每种情况下,DRA 都会自动为关联的用户帐户创建用户主目录。
在 NetApp Filer 上定义用于管理用户主目录的策略或自动化触发器时,需要使用不同的目录规范格式。
如果使用的是 NetApp Filer,请按以下格式指定父目录:\\FilerName\adminshare:\volumerootpath\directorypath
adminshare 变量是映射到 NetApp Filer 上的根卷的隐藏共享,例如 c$。例如,如果 NetApp Filer(称为 usfiler)上共享的本地路径为 c$\vol\vol0\mydirectory,则可以为 NetApp Filer 指定 \\usfiler\c:\vol\vol0\mydirectory 根路径。
要在创建用户主目录或为用户配置用户主目录策略时指定 DFS 路径,请使用 \\server\root\<link> format,其中 root 可以是受管域,也可以是以下格式的独立根目录:\\FilerName\adminshare:\volumerootpath\directorypath。
创建共享目录以储存此用户帐户的用户主目录。
确保 DRA 可以访问路径中引用的计算机或共享。
此规则允许 DRA 自动为新用户帐户创建用户主目录。DRA 创建用户主目录时,管理服务器将使用 Create User Wizard(创建用户向导)中用户主目录字段中指定的路径。您可以稍后通过用户属性窗口的“配置文件”选项卡修改此路径,DRA 会将用户主目录移动到新位置。如果未指定这些字段的值,则 DRA 不会为该用户帐户创建用户主目录。
DRA 会根据所选的用户主目录许可权限选项设置新目录的安全性。使用这些选项可以控制所有用户主目录的常规访问。
例如,您可以指定管理员组的成员具有完全控制权,而 Help Desk 组的成员对创建用户主目录的共享拥有读取访问权限。然后,当 DRA 创建用户主目录时,新的用户主目录可以从父目录继承这些权限。因此,管理员组的成员可以完全控制所有用户主目录,而 Help Desk 组的成员对所有用户主目录拥有读取访问权限。
如果指定的用户主目录已存在,则 DRA 不会创建用户主目录,也不会修改现有的目录许可权限。
此规则允许 DRA 自动执行以下操作:
指定新的用户主目录路径时创建用户主目录
更改用户主目录路径时移动用户主目录内容
重命名用户帐户时重命名用户主目录
重命名用户帐户时,DRA 会根据新的帐户名重命名现有用户主目录。如果现有用户主目录当前正在使用中,则 DRA 将使用新名称创建新用户主目录,并且不会更改现有用户主目录。
更改用户主目录路径时,DRA 会尝试创建指定的用户主目录,并将先前用户主目录的内容移动到新位置。您还可以配置用户主目录策略以创建用户主目录,而无需移动现有用户主目录中的内容。DRA 还会将从先前目录中指派的 ACL 应用于新目录。如果指定的用户主目录已存在,则 DRA 不会创建此新目录,也不会修改现有的目录许可权限。如果先前的用户主目录未锁定,则 DRA 会将其删除。
当 DRA 重命名用户主目录失败时,DRA 会尝试使用新名称创建新的用户主目录,并将先前用户主目录中的内容复制到新的用户主目录中。然后,DRA 将尝试删除先前的用户主目录。您可以将 DRA 配置为不将先前用户主目录中的内容复制到新用户主目录,并手动将先前用户主目录中的内容移动到新用户主目录,以避免复制打开的文件等问题。
删除先前的用户主目录时,DRA 需要显式许可权限才能从先前的用户主目录中删除只读文件和子目录。您可以为 DRA 提供从先前用户主目录中显式删除只读文件和子目录的许可权限。
DRA 允许您为文件服务器上的主共享指定允许的父目录或路径。如果要指定多个目录或文件服务器路径,则可以将这些路径导出到 CSV 文件,并使用 DRA 控制台将 CSV 文件中的路径添加到 DRA。DRA 使用在允许的父路径字段中输入的信息来确保:
当助理管理员删除用户帐户和用户帐户用户主目录时,DRA 不会删除文件服务器上的父目录。
重命名用户帐户或更改用户帐户的用户主目录路径时,DRA 会将用户主目录移动到文件服务器上的有效父目录或路径。
在您删除关联的用户帐户时,此规则允许 DRA 自动删除用户主目录。如果启用了回收站,则在从回收站中删除用户帐户之前,DRA 不会删除用户主目录。删除用户主目录时,DRA 需要显式许可权限才能从先前的用户主目录中删除只读文件和子目录。您可以为 DRA 提供从先前用户主目录中显式删除只读文件和子目录的许可权限。
当您修改用户帐户或管理用户主目录时,DRA 会通过管理主共享来自动执行主共享维护任务。创建、克隆、修改、重命名或删除用户帐户时,DRA 可以执行不同的操作。
为了与相应的 Microsoft Windows 安全策略保持一致,DRA 不会在共享名称级别创建访问控制限制。相反,DRA 仅在目录级别创建访问控制限制。在共享名称级别和文件或目录对象级别设置访问控制限制,通常会导致管理员和用户的访问方案混乱。
注:指定的位置必须在用户主目录的上一级具有共同的主共享,例如 HOMEDIRS。
例如,此路径有效:\\HOUSERV1\HOMEDIRS\%username%
此路径无效:\\HOUSERV1\%username%
定义主共享自动化规则时,您可以为每个自动创建的主共享指定前缀和后缀。通过指定前缀或后缀,您可以实施主共享的命名约定。
例如,您启用 Create home directory(创建用户主目录)和 Create home share automation rules(创建主共享自动化规则)。对于主共享,您指定下划线前缀和美元符号后缀。创建名为 TomS 的用户时,将其新目录映射到 U 盘并指定 \\HOUSERV1\HOMEDIRS\%username% 作为目录路径。在此示例中,DRA 将创建名为 _TomS$ 的网络共享,该共享指向 \\HOUSERV1\HOMEDIRS\TomS directory。
DRA 创建主共享时,管理服务器将使用 Create User Wizard(创建用户向导)中用户主目录字段中指定的路径。您可以稍后通过用户属性窗口的“配置文件”选项卡修改此路径。
DRA 通过将指定的前缀和后缀(如果有)添加到用户名来创建共享名称。如果使用长用户帐户名,DRA 可能无法添加指定的主共享前缀和后缀。前缀和后缀以及允许的连接数基于您选择的主共享创建选项。
如果从新创建的用户帐户名生成的主共享名称已存在,则 DRA 将删除现有共享并为指定的用户主目录创建新共享。
克隆用户帐户时,当前必须存在现有用户帐户的共享名称。克隆用户帐户时,DRA 还会克隆用户主目录信息并为新用户自定义该信息。
更改用户主目录位置时,DRA 将删除现有共享并为新用户主目录创建新共享。如果原始用户主目录为空,则 DRA 将删除原始目录。
重命名用户帐户时,DRA 会删除现有的主共享,并根据新帐户名创建新共享。新共享将指向现有用户主目录。
永久删除用户帐户时,DRA 会删除主共享。
DRA 允许 您管理主卷的磁盘配额。您可以在用户主目录位于 Microsoft Windows 计算机上的本机域中实施此策略。实施此策略时,应指定至少 25MB 的磁盘配额,以便留出足够的空间。
此功能可让您指定 DRA 生成的口令的策略设置。DRA 不会对用户创建的口令实施这些设置。配置口令策略属性时,口令长度必须超过 6 个字符且少于 127 个字符,除口令长度和最大限制以外,所有值都可以设置为零。
要配置口令生成策略,请导航到 Policy and Automation Management(策略和自动化管理)> Configure Password Generation Policies(配置口令生成策略),然后选中 Enable Password Policy(启用口令策略)复选框。单击 Password Settings(口令设置)并配置“口令策略”属性。
要删除、启用或禁用策略,您必须具备相应权限,例如内置 Manage Policies and Automation Triggers(管理策略和自动化触发器)角色中所包含的权限。
要执行任意操作,请导航到 Policy and Automation Management(策略和自动化管理)> Policy(策略)。在右侧窗格中右键单击要删除、启用或禁用的策略,然后选择所需的操作。
要实施内置策略,您必须具备相应权限,例如内置 Manage Policies and Automation Triggers(管理策略和自动化触发器)角色中所包含的权限。有关内置策略的更多信息,请参见了解内置策略。
注:在将内置策略与助理管理员和 ActiveView 关联之前,请先校验助理管理员是否已指派给该 ActiveView。
要实施内置策略:
导航到 Policy and Automation Management(策略和自动化管理)> Policy(策略)。
在“任务”菜单上,单击 New Policy(新建策略),然后选择要创建的内置策略的类型。
在每个向导窗口中,指定相应的值,然后单击下一步。例如,您可以将此新策略与特定 ActiveView 相关联,从而允许 DRA 对该 ActiveView 包含的对象实施此策略。
查看摘要,然后单击完成。
要实施自定义策略,您必须具备相应权限,例如内置 Manage Policies and Automation Triggers(管理策略和自动化触发器)角色中所包含的权限。
要成功实施自定义策略,您必须编写在特定操作(管理任务)期间运行的脚本。在自定义策略脚本中,您可以定义在操作违反策略时要显示的错误讯息。您还可以通过 Create Policy Wizard(创建策略向导)指定默认错误讯息。
有关编写自定义策略、查看管理操作列表或使用自变量数组的更多信息,请参见 SDK。有关更多信息,请参见编写自定义策略脚本或可执行文件。
注:
在将自定义策略与助理管理员和 ActiveView 关联之前,请先确保助理管理员已指派给该 ActiveView。
如果自定义策略脚本或可执行文件的路径包含空格,请为路径加上引号 (")。
要实施自定义策略:
编写策略脚本或可执行文件。
使用在受管域中指派了内置 Manage Policies and Automation Triggers(管理策略和自动化触发器)角色的帐户登录到 DRA 客户端计算机。
启动 Delegation and Configuration(委托和配置)控制台。
连接到主管理服务器。
在左侧窗格中,展开 Policy and Automation Management(策略和自动化管理)。
单击 Policy(策略)。
在“任务”菜单上,单击 New Policy(新建策略) > Create a Custom Policy(创建自定义策略)。
在每个向导窗口中,指定相应的值,然后单击下一步。例如,您可以将此新策略与特定 ActiveView 相关联,从而允许 DRA 对该 ActiveView 包含的对象实施此策略。
查看摘要,然后单击完成。
要修改策略的所有属性,您必须具备相应权限,例如内置 Manage Policies and Automation Triggers(管理策略和自动化触发器)角色中所包含的权限。
要修改策略属性:
导航到 Policy and Automation Management(策略和自动化管理)> Policy(策略)。
右键单击要修改的策略,然后选择属性。
修改此策略的相应属性和设置。
有关编写自定义策略脚本或可执行文件的更多信息,请参见 SDK。
要访问 SDK:
确保已在计算机上安装 SDK。安装程序会在 Directory and Resource Administrator 程序组中创建 SDK 的快捷方式。有关更多信息,请参见安装 DRA 管理服务器中的安装核对清单。
单击 Directory and Resource Administrator 程序组中的 SDK 快捷方式。
有关 SDK 的更多信息,请参见 DRA 文档网站中的 DRA REST Services Guide
(《DRA REST 服务指南》)。