Главная Exchange/UC, Без рубрики, Новое Поиск в нескольких почтовых ящиках в Exchange 2010 (Multi-Mailbox Search)
  • Поиск в нескольких почтовых ящиках в Exchange 2010 (Multi-Mailbox Search)

    image Реалии ведения современного бизнеса таковы, что зачастую стоимость одного документа с конфиденциальными данными является просто огромной. Одним из каналов утечки этих самых конфиденциальных данных может служить корпоративная почта. В связи с этим, перед сотрудниками службы внутренней безопасности встает задача мониторинга входящей и исходящей корреспонденции. Для решения задач мониторинга переписки пользователей или просто поиска информации, в Exchange 2010 существует функция поиска по нескольким почтовым ящикам. Поиск в нескольких почтовых ящиках (Multi-Mailbox Search) – это базовая функция Exchange 2010, основанная на индексах содержимого. Благодаря единому механизму индексации содержимого для функции поиска в нескольких почтовых ящиках не требуются дополнительные ресурсы для сканирования и индексации баз данных при обработке запросов на обнаружение.

    Доступ к поиску по нескольким почтовым ящикам реализован через панель управления Exchange (ECP), открыть которую можно из Outlook Web App, либо по адресу https://YourServer/ecp. Благодаря простому пользовательскому интерфейсу, данной функцией могут управлять не только технически грамотные специалисты, но и простые сотрудники. В поиске по нескольким почтовым ящикам применяется синтаксис расширенных запросов (AQS), он используется службой Windows Search и мгновенным поиском в Microsoft Outlook 2007 и более поздних версиях. Пользователи, знакомые с синтаксисом AQS, могут легко создать сложные поисковые запросы.

    Очевидно, что доступом к такому функционалу должны обладать лишь строго определенные лица, по этому, в Exchange 2010 существует специальная группа ролей RBACГруппа управления обнаружением (Discovery Management), данная группа включает в себя две роли:

    • · Роль поиска в почтовых ящиках (Mailbox Search) – позволяет пользователям выполнять поиск на обнаружение;
    • · Роль юридического удержания (Legal Hold) – позволяет пользователям включать для почтовых ящиков функцию юридического удержания.

    По умолчанию, группа ролей Управление обнаружением не имеет участников, и даже администраторы не имеют права выполнять поиск на обнаружение. Они могут лишь делегировать данное право уполномоченным сотрудникам.

    Делегирование прав на выполнение поиска на обнаружение

    Проще всего добавить пользователя в группу ролей RBAC через Exchange Control Panel (ECP). Для этого необходимо открыть сайт ECP (https://YourServer/ecp), перейти в раздел Управление Организацией – Role & Auditing – Роли администратора – выбрать группу ролей Discovery Management – в открывшемся окне добавить пользователей к группе.

    image

    Рис.1: Добавление пользователей в группу «Управление обнаружением» (Discovery Management) через Exchange Control Panel.

    Также можно это проделать и через командную консоль:

    Add-RoleGroupMember -Identity “Discovery Management” -Member User1

    Аудит использования функции поиска по нескольким почтовым ящикам

    Функция поиска в нескольких почтовых ящиках — это мощный инструмент, который предоставляет пользователям с соответствующими разрешениями потенциальный доступ ко всем записям системы обмена сообщениями, хранящимся в организации Exchange 2010. Очень важно вести наблюдение и контролировать использование этой технологии. Контролю должны быть подвергнуты как сами поисковые запросы, так и процесс добавления пользователей в группу ролей управления обнаружением.

    Для операций поиска на обнаружение доступны два типа ведения журнала:

    • · Обычное ведение журнала включено по умолчанию для всех операций поиска. В нем регистрируются сведения о поиске и выполнившем его пользователе. Сведения, собираемые при простом ведении журнала, включаются в текст сообщения электронной почты, которое отправляется в почтовый ящик, где хранятся результаты поиска. Это сообщение находится в папке, созданной для хранения результатов поиска.
    • · Полное ведение журнала – При полном ведении журнала в нем регистрируются сведения о всех сообщениях, возвращенных в поиске. Эти сведения содержатся в CSV-файле, который вкладывается в сообщение электронной почты, содержащее сведения простого ведения журнала. Для имени CSV-файла используется имя поиска. Чтобы включить полное ведение журнала, выберите в консоли управления поиском Включить полное ведение журнала или укажите уровень ведения журнала в командной консоли с помощью параметра LoggingLevel.

    Для мониторинга добавления пользователей в группу ролей управления обнаружением служит аудит изменений в роли RBAC, который обеспечивает ведение соответствующих записей для отслеживания назначений групп ролей. Дополнительные сведения о ведении журнала аудита RBAC смотрите в справке TechNet.

    Практическое использование поиска в нескольких почтовых ящиках

    Добавив пользователей в группу Discovery Management и обеспечив себе контроль над их действиями, можно приступить к обучению сотрудников использованию этой функции.

    Поиск

    После добавления пользователя в группу Discovery Management, у него на сайте ECP появляется возможность попасть в параметры управления организацией и в меню Управление почтой отображается функция поиска в почтовых ящиках:

    image

    Рис.2: Функция поиска в нескольких почтовых ящиках на сайте ECP пользователя.

    Для создания запроса на обнаружение необходимо нажать кнопку Создать и заполнить карточку поиска:

    image

    Рис.3: Карточка поиска в почтовых ящиках.

    Полей для заполнения достаточно много, но смысл их интуитивно понятен, так что я думаю вы сами разберетесь что тут и зачем.

    Примечание: Если не указан запрос поиска, то в целевой почтовый ящик будет скопирован весь контент указанных почтовых ящиков. Перед выполнением поиска следует убедиться, что в хранилище, на котором расположена база данных почтовых ящиков достаточно свободного места.

    Просмотр результатов

    После нажатия кнопки Сохранить задание поиска начнет выполняться и через какое-то время вы увидите статистику выполненного запроса, а результаты поиска будут скопированы в специальный почтовый ящик обнаружения.

    Чтобы просмотреть результаты поиска необходимо открыть Discovery Search Mailbox, делается это из меню пользователя в правом верхнем углу Outlook Web App – Открыть другой почтовый ящик:

    image

    Рис.4: Подключение к другому почтовому ящику.

    Нужно заметить, что доступ к Discovery Search Mailbox имеют только пользователи, добавленные в группу ролей Discovery Management. Открыв почтовый ящик вы увидите там структуру, повторяющую расположение записи в исходном почтовом ящике пользователя.

    Примечание: Можно создать дополнительный почтовый ящик обнаружения (Discovery Search Mailbox) командой New-Mailbox SearchResults -Discovery -UserPrincipalName SearchResults@contoso.com

    Заключение

    При помощи функции поиска по нескольким почтовым ящикам (Multi-Mailbox Search) администраторы сервера Exchange 2010 могут делегировать уполномоченному персоналу возможность мониторинга пользовательской переписки путем выполнения поиска записей в их почтовых ящиках. Но ни кто не мешает сотрудникам удалять компрометирующие их письма. Для контроля над удалением и модификацией содержимого почтовых ящиков в Exchange 2010 существует функция Юридического удержания (Legal Hold) и восстановления отельных элементов (Single item recovery), о которых мы поговорим подробнее далее.

    PS. Данная статья является частью цикла “Управление почтовыми ящиками в Exchange 2010”, полную версию которого вы можете скачать в формате PDF.

    Алексей Богомолов (Alexx)
    http://alexxhost.ru