您可以透過「規則和自動化管理」節點來存取 Microsoft Exchange 和主目錄規則,以及內建和自定規則。使用下列通用任務來改善您的企業的安全性和資料完整性。
讓您定義 Microsoft Exchange 組態、信箱規則、自動化命名及 proxy 產生規則。這些規則可以定義當助理管理員建立、修改或刪除使用者帳戶時如何管理信箱。
讓您在助理管理員建立、重新命名或刪除使用者帳戶時,自動建立、重新命名或刪除主目錄和主目錄共享。主目錄規則也可讓您啟用或停用 Microsoft Windows 伺服器以及非 Windows 伺服器上主目錄的磁碟配額支援。
讓您定義由 DRA 產生之密碼的需求。
如需在 DRA 中管理規則的詳細資訊,請參考下列各節:
Exchange 提供數個規則,協助您更有效率地管理 Microsoft Exchange 物件。Microsoft Exchange 規則可讓您自動化信箱管理、強制執行別名和信箱儲存區的命名慣例,以及自動產生電子郵件地址。
這些規則可協助您簡化工作流程及維護資料完整性。例如,您可以指定當您建立、修改或刪除使用者帳戶時,Exchange 如何管理信箱。若要定義及管理 Microsoft Exchange 規則,您必須擁有適當的能力,例如內建「管理規則和自動化觸發」角色中所包含的能力。
若要指定預設電子郵件地址規則,您必須擁有適當的權限,例如內建「管理規則和自動化觸發」角色中所包含的能力,且您的授權必須支援 Exchange 產品。
若要指定預設電子郵件地址規則:
導覽至規則和自動化管理>設定 Exchange 規則>Proxy 產生。
指定 Microsoft Exchange 伺服器的網域。
按一下瀏覽。
視需要指定額外搜尋準則,然後按一下立即尋找。
選取要設定的網域,然後按一下確定。
指定所選取網域的 Proxy 產生規則。
按一下新增。
選取 Proxy 類型。例如,按一下網際網路位址。
接受預設值或輸入新的 Proxy 產生規則,然後按一下確定。
如需 Proxy 產生規則之支援替代字串的詳細資訊,請參閱委託及設定用戶端規則
按一下自定屬性以編輯自定信箱內容的自定名稱。
選取屬性然後按一下編輯按鈕。
在「屬性內容」視窗中,在自定名稱欄位中輸入屬性名稱,然後按一下確定。
按一下「確定」。
附註:DRA 規則管理員應該具有管理自定工具權限,以修改 Microsoft Exchange 規則中的自定屬性。
信箱規則可讓您指定當助理管理員建立、複製、修改或刪除使用者帳戶時,Exchange 如何管理信箱。信箱規則會根據助理管理員管理相關聯使用者帳戶的方式,自動管理 Microsoft Exchange 信箱。
附註:在 Microsoft Windows 網域中啟用不允許助理管理員建立沒有信箱的使用者帳戶選項時,請確保助理管理員具有複製或建立使用者帳戶的能力。啟用此選項需要助理管理員建立具有信箱的 Windows 使用者帳戶。
若要指定 Microsoft Exchange 信箱規則,您必須擁有適當的權限,例如內建「管理規則和自動化觸發」角色中所包含的權限,且您的授權必須支援 Exchange 產品。
若要指定 Exchange 信箱規則:
導覽至規則和自動化管理>設定 Exchange 規則>信箱規則。
選取您想要 Exchange 在建立或修改使用者帳戶時強制執行的信箱規則。
按一下「確定」。
若要指定 Office 365 授權規則,您必須擁有適當的權限,例如內建「管理規則和自動化觸發」角色中所包含的權限。您的授權也必須支援 Microsoft Exchange 產品。
如果您想要允許 DRA 管理您的 Office 365 授權,您必須執行下列動作:
建立授權強制規則。
啟用租用戶內容頁面上的授權更新排程。
若要建立規則以強制執行 Office 365 授權,請按一下「委託和組態」主控台中的規則和自動化管理節點,然後選取「新增規則 > 建立新規則以強制執行 Office 365 授權」。
當規則強制執行且使用者新增至 Active Directory 時,DRA 會使用群組成員資格自動將 Office 365 授權指定給使用者。
您建立以強制執行 Office 365 授權的規則,在變更是於 DRA 外部進行時不會套用,除非您也在租用戶內容頁面上啟用授權更新排程。授權更新工作會確保指定給使用者的 Office 365 授權與您的 Office 365 授權規則相符。
授權更新工作和 Office 365 授權規則會搭配運作,以確保您的所有受管理使用者僅獲得指定它們應該具有的 Office 365 授權。
附註:
DRA 不會管理僅線上使用者帳戶的 Office 365 授權。為了讓 DRA 管理具有 Office 365 授權的使用者,這些使用者必須與 Active Directory 同步。
如果您選擇使用 DRA 來管理您的 Office 365 授權,DRA 會在下一次授權更新工作執行時,覆寫在 DRA 外部所做的任何 Office 365 授權手動變更。
如果您在確定 Office 365 授權規則已正確設定之前就啟用 Office 365 授權更新工作,在授權更新工作執行之後,您的指定授權可能會不正確。
當您管理大量的使用者帳戶時,建立及維護這些主目錄和共享可能需要大量時間,且可能會是安全性錯誤的來源。每次建立、重新命名或刪除使用者時,都需要額外維護。主目錄規則可協助您管理主目錄和主目錄共享維護。
DRA 可讓您自動化使用者主目錄的建立和維護。例如,您可以輕易地設定 DRA,讓管理伺服器在您建立使用者帳戶時建立主目錄。在此情況下,如果您在建立使用者帳戶時指定主目錄路徑,則伺服器會自動針對每個指定的路徑建立主目錄。如果您未指定路徑,則伺服器不會建立主目錄。
DRA 在建立使用者主目錄或在允許的父路徑中設定使用者的主目錄規則期間,支援分散式檔案系統 (DFS) 路徑。您可以在 Netapp Filer 和 DFS 路徑或分割區上,建立、重新命名及刪除主目錄。
若要設定主目錄、共享及磁碟區磁碟配額規則,您必須擁有適當的權限,例如內建「管理規則和自動化觸發」角色中所包含的權限。每個規則會根據您管理相關聯使用者帳戶的方式,自動管理主目錄、共享及磁碟區磁碟配額。
若要設定主目錄規則,請導覽至規則和自動化管理>設定主目錄規則>
主目錄
主目錄共享
主目錄磁碟區磁碟配額
針對您需要建立主目錄共享的每部電腦,管理伺服器服務帳戶或存取帳戶應該是該電腦的管理員,或是對應網域中「管理員」群組的成員。
DRA 管理及儲存主目錄所在的每個磁碟機上,必須有管理共享 (例如 C$ 或 D$) 存在。DRA 會使用管理共享來執行一些主目錄和主目錄共享自動化任務。如果這些共享不存在,DRA 就無法提供主目錄和主目錄共享自動化。
若要針對 NetApp Filer 設定允許的父路徑:
導覽至規則和自動化管理>設定主目錄規則。
在允許的父路徑文字方塊中,輸入下表中其中一個允許的路徑:
|
共享類型 |
允許的路徑 |
|---|---|
|
Windows |
(\\FileName\adminshare:\volumerootpath\directorypath) |
|
非 Windows |
(\\non-windows\share) |
按一下新增。
針對您想要套用主目錄規則的每個允許的父路徑重複步驟 1-3。
為了與適當的 Microsoft Windows 安全性規則保持一致,DRA 僅在目錄層級建立存取控制限制。同時在共享名稱層級和檔案或目錄物件層級放置存取控制限制時,通常會導致管理員和使用者的存取規劃混淆。
當您變更主目錄共享的存取控制限制時,DRA 不會變更該目錄的現有安全性。在此情況下,您必須確定使用者帳戶具有它們自己的主目錄的適當存取。
DRA 會藉由在您修改使用者帳戶時管理主目錄,來自動化主目錄維護任務。DRA 可以在建立、複製、修改、重新命名或刪除使用者帳戶時,執行不同的動作。
若要成功執行您的主目錄規則,請考量下列指導方針:
確保指定的路徑使用正確格式。
若要為單一主目錄指定路徑,請使用下表中其中一個範本:
|
共享類型 |
路徑範本 |
|---|---|
|
Windows |
\\computer\share\. 例如,如果您想要讓 DRA 在 server01 電腦上的 Home Share 資料夾中自動建立主目錄,請輸入 \\server01\Home Share\ |
|
非 Windows |
\\non-windows\share |
若要標準化對應主目錄共享之根目錄上的主目錄管理,請使用通用命名慣例語法,例如 \\伺服器名稱\C:\主目錄的路徑。
若要為巢狀主目錄指定路徑,請使用下表中其中一個範本:
|
共享類型 |
路徑範本 |
|---|---|
|
Windows |
\\computer\share\first directory\second directory\ 例如,如果您想要讓 DRA 在 server01 電腦上 Home Share 資料夾下方的現有 JSmit\Home directory 中自動建立主目錄,請輸入 \\server01\Home Share\JSmith\Home。 |
|
非 Windows |
\\non-windows\share\first directory\second directory\ |
附註:DRA 也支援下列格式:\\computer\share\username and \\computer\share\%username%。在每個情況下,DRA 會自動針對相關聯的使用者帳戶建立主目錄。
當您定義規則或自動化觸發以管理 NetApp Filer 上的主目錄時,必須針對目錄規格使用不同的格式。
如果您使用 NetApp Filer,請以下列格式指定父目錄:\\FilerName\adminshare:\volumerootpath\directorypath
adminshare 變數是隱藏的共享,對應至 NetApp Filer 上的根磁碟區,例如 c$。例如,如果 NetApp Filer (名稱為 usfiler) 上共享的本機路徑是 c$\vol\vol0\mydirectory,您可以為 NetApp Filer 指定根路徑 \\usfiler\c:\vol\vol0\mydirectory。
若要在您建立使用者主目錄或為使用者設定主目錄規則時指定 DFS 路徑,請使用 \\server\root\<link> format,其中 root 可以是管理的網域或獨立根目錄,格式如下:\\FilerName\adminshare:\volumerootpath\directorypath。
建立共享目錄以儲存此使用者帳戶的主目錄。
確定 DRA 可以存取在路徑中參考的電腦或共享。
這個規則可讓 DRA 自動為新的使用者帳戶建立主目錄。當 DRA 建立主目錄時,管理伺服器會使用在「建立使用者精靈」之主目錄欄位中指定的路徑。您可以在稍後透過使用者內容視窗的「設定檔」索引標籤來修改此路徑,DRA 會將主目錄移至新位置。如果您未指定這些欄位的值,DRA 不會為該使用者帳戶建立主目錄。
DRA 會根據選取的主目錄許可選項,設定新目錄的安全性。這些選項可讓您控制所有主目錄的一般存取。
例如,對於在其中建立使用者主目錄的共享,您可以指定「管理員」群組的成員擁有完整控制,而「服務台」群組的成員擁有讀取存取權。然後,當 DRA 建立使用者主目錄時,新的主目錄可以繼承父目錄的這些權限。因此,「管理員」群組的成員擁有所有使用者主目錄的完整控制,而「服務台」群組的成員擁有所有使用者主目錄的讀取存取權。
如果指定的主目錄已存在,DRA 不會建立主目錄,也不會修改現有目錄許可。
此規則可讓 DRA 自動執行下列動作:
當您指定新的主目錄路徑時建立主目錄
當您變更主目錄路徑時移動主目錄內容
當您重新命名使用者帳戶時重新命名主目錄
當您重新命名使用者帳戶時,DRA 會根據新的帳戶名稱,重新命名現有主目錄。如果現有主目錄目前正在使用中,DRA 會使用新的名稱來建立新的主目錄,而且不會變更現有主目錄。
當您變更主目錄路徑時,DRA 會嘗試建立指定的主目錄,並且將先前主目錄的內容移至新位置。您也可以設定「主目錄」規則以建立主目錄,不需要從現有主目錄移動內容。DRA 也會從先前目錄將指定的 ACL 套用至新目錄。如果指定的主目錄已存在,DRA 不會建立這個新目錄,也不會修改現有目錄許可。如果先前的主目錄未鎖定,DRA 會將它刪除。
當 DRA 無法重新命名主目錄時,DRA 會嘗試使用新名稱建立新的主目錄,然後從先前的主目錄將內容複製到新的主目錄。然後 DRA 會嘗試刪除先前的主目錄。您可以設定 DRA 不要從先前的主目錄將內容複製到新的主目錄,並且手動從先前的主目錄將內容移至新的主目錄,以避免例如複製已開啟檔案的疑慮。
當刪除先前的主目錄時,DRA 需要明確許可以便從先前的主目錄刪除唯讀檔案和子目錄。您可以對 DRA 提供許可,以明確地從先前的主目錄刪除唯讀檔案和子目錄。
DRA 可讓您針對檔案伺服器上的主目錄共享,指定允許的父目錄或路徑。如果您有許多的目錄或檔案伺服器要指定,可以將這些路徑輸出到 CSV 檔案,然後使用 DRA 主控台,從 CSV 檔案將路徑新增至 DRA。DRA 會使用在允許的父路徑欄位中輸入的資訊以確保:
當助理管理員刪除使用者帳戶和使用者帳戶主目錄時,DRA 不會刪除檔案伺服器上的父目錄。
當您重新命名使用者帳戶或變更使用者帳戶的主目錄路徑時,DRA 會將主目錄移至檔案伺服器上的有效父目錄或路徑。
此規則可讓 DRA 在您刪除相關聯的使用者帳戶時,自動刪除主目錄。如果您啟用資源回收筒,在您從資源回收筒刪除使用者帳戶之前,DRA 不會刪除主目錄。當刪除主目錄時,DRA 需要明確許可以便從先前的主目錄刪除唯讀檔案和子目錄。您可以對 DRA 提供許可,以明確地從先前的主目錄刪除唯讀檔案和子目錄。
DRA 會藉由在您修改使用者帳戶或管理主目錄時管理主目錄共享,以自動化主目錄共享維護任務。DRA 可以在建立、複製、修改、重新命名或刪除使用者帳戶時,執行不同的動作。
為了與適當的 Microsoft Windows 安全性規則保持一致,DRA 不會在共享名稱層級建立存取控制限制。相反地,DRA 只會在目錄層級建立存取控制限制。同時在共享名稱層級和檔案或目錄物件層級放置存取控制限制時,通常會導致管理員和使用者的存取規劃混淆。
附註:指定的位置必須在主目錄上面一個層級有通用主目錄共享,例如 HOMEDIRS。
例如,下列路徑有效:\\HOUSERV1\HOMEDIRS\%username%
下列路徑無效:\\HOUSERV1\%username%
當定義主目錄共享自動化規則時,您可以為每個自動建立的主目錄共享指定字首和字尾。藉由指定字首和字尾,您可以針對主目錄共享強制執行命名慣例。
例如,您啟用建立主目錄和建立主目錄共享自動化規則。針對主目錄共享,您可以指定底線字首和貨幣符號字尾。當您建立名稱為 TomS 的使用者時,變會將它的新目錄對應至 U 磁碟機,並且指定 \\HOUSERV1\HOMEDIRS\%username% 作為目錄路徑。在此範例中,DRA 會建立名為 _TomS$ 的網路共享,指向 \\HOUSERV1\HOMEDIRS\TomS directory。
當 DRA 建立主目錄共享時,管理伺服器會使用在「建立使用者精靈」之主目錄欄位中指定的路徑。您稍後可以透過使用者內容視窗的「設定檔」索引標籤,修改此路徑。
DRA 會藉由將指定的字首和字尾 (如果有的話) 新增至使用者名稱,來建立共享名稱。如果您使用完整使用者帳戶名稱,DRA 可能無法新增指定的共享字首和字尾。字首和字尾以及許可的連線數目是根據您選取的主目錄共享建立選項。
如果從新建立的使用者帳戶名稱所產生的主目錄共享名稱已存在,DRA 會刪除現有共享並且將新共享建立至指定的主目錄。
當複製使用者帳戶時,必須有現有使用者帳戶的共享名稱存在。當您複製使用者帳戶時,DRA 也會複製主目錄資訊,並且為新的使用者自定該資訊。
當您變更主目錄位置時,DRA 會刪除現有共享並且將新共享建立至新的主目錄。如果原始主目錄是空白的,DRA 會刪除原始目錄。
當您重新命名使用者帳戶時,DRA 會刪除現有主目錄共享,並且根據新的帳戶名稱建立新的共享。新的共享會指向現有主目錄。
當您永久刪除使用者帳戶時,DRA 會刪除主目錄共享。
DRA 可讓您管理主目錄磁碟區的磁碟配額。您可以在原生網域 (其中主目錄位於 Microsoft Windows 電腦上) 中執行此規則。當您執行此規則時,應該指定至少 25MB 的磁碟配額,以便具有足夠的空間。
此功能可讓您針對 DRA 產生的密碼指定規則設定。DRA 不會對使用者建立的密碼強制執行這些設定。設定「密碼規則」內容時,密碼長度必須不少於 6 個字元,並且不長於 127 個字元,所有值可設為零,密碼長度和上限除外。
若要設定「密碼產生規則」,請導覽至規則和自動化管理>設定密碼產生規則,然後選取啟用密碼規則核取方塊。按一下密碼設定然後設定「密碼規則」內容。
若要刪除、啟用或停用規則,您必須擁有適當的權限,例如內建「管理規則和自動化觸發」角色中所包含的權限。
若要執行其中一個動作,請導覽至規則和自動化管理>規則。在右窗格中以滑鼠右鍵按一下您想要刪除、啟用或停用的規則,然後選取想要的動作。
若要導入內建規則,您必須擁有適當的權限,例如內建「管理規則和自動化觸發」角色中所包含的權限。如需關於內建規則的詳細資訊,請參閱瞭解內建規則。
附註:在讓內建規則與助理管理員和 ActiveView 產生關聯之前,請先驗證助理管理員已指定給該 ActiveView。
若要執行內建規則:
導覽至規則和自動化管理>規則。
在「任務」功能表上,按一下新增規則,然後選取您想要建立的內建規則類型。
在每個精靈視窗上,指定適當的值,然後按下一步。例如,您可以讓此新規則與特定 ActiveView 產生關聯,讓 DRA 對該 ActiveView 所包含的物件強制執行此規則。
檢閱摘要,然後按一下完成。
若要執行自定規則,您必須擁有適當的權限,例如內建「管理規則和自動化觸發」角色中所包含的權限。
若要成功執行自定規則,您必須撰寫程序檔,在特定操作 (管理任務) 期間執行。在自定規則程序檔中,您可以定義每當動作違反規則時顯示的錯誤訊息。您也可以透過「建立規則精靈」指定預設錯誤訊息。
如需關於撰寫自定規則、檢視管理操作的清單,或使用引數陣列的詳細資訊,請參閱 SDK。如需詳細資訊,請參閱 撰寫自定規則程序檔或可執行檔。
附註:
在讓自訂規則與助理管理員和 ActiveView 產生關聯之前,請先確定助理管理員已指定給該 ActiveView。
如果自定規則程序檔或可執行檔的路徑包含空格,請在路徑前後指定引號 (")。
若要執行自定規則:
撰寫規則程序檔或可執行檔。
使用已獲得指定管理的網域中內建「管理規則和自動化觸發」角色的帳戶,登入 DRA 用戶端電腦。
啟動「委託和組態」主控台。
連接至主要管理伺服器。
在左窗格中,展開規則和自動化管理。
按一下規則。
在「任務」功能表上,按一下新增規則 > 建立自定規則。
在每個精靈視窗上,指定適當的值,然後按下一步。例如,您可以讓此新規則與特定 ActiveView 產生關聯,讓 DRA 對該 ActiveView 所包含的物件強制執行此規則。
檢閱摘要,然後按一下完成。
若要修改規則的所有內容,您必須擁有適當的權限,例如內建「管理規則和自動化觸發」角色中所包含的權限。
若要修改規則內容:
導覽至規則和自動化管理>規則。
以滑鼠右鍵按一下您想要修改的規則,然後選取內容。
修改此規則的適當內容和設定。
如需關於撰寫自定規則程序檔或可執行檔的詳細資訊,請參閱 SDK。
若要存取 SDK:
請確定您已在電腦上安裝 SDK。安裝程式會在「目錄和資源管理員」程式群組中建立 SDK 的捷徑。如需詳細資訊,請參閱安裝 DRA 管理伺服器 中的安裝核對清單。
按一下「目錄和資源管理員」程式群組中的 SDK 捷徑。
如需關於 SDK 的詳細資訊,請參閱 DRA 文件網站上的《DRA REST 服務指南
》。