Install: Delegated Exchange 2010 deployment

Esta es nuestra infrastructura:

  • La oficina principal está en Porto Alegre y tenemos una oficina en Toronto
  • El Domain Admin, Exchange Organization Admins y todo el equipo de IT esta en Porto Alegre
  • Hay un usuario en la sucursal llamado Anderson, miembro de Domain Users, que es el que instalara un servidor Exchange

Obviamente no agregaremos al usuario al grupo de Domain Admins. Por lo tanto, mediante GPO, lo que vamos a hacer es lo siguiente

  • En la OU “Server”, en la que irían otro tipo de servers, añadiremos al usuario Anderson, y domain admins, como miembro del grupo builtin\administrators, ya que así, Anderson al ser miembro del grupo administradores local de la maquina, puede hacer cosillas
  • En la OU “Exchange Server” también mediante restricted Group (o manualmente9 asignar al grupo built-in\administrator al usuario Andersosn, además de un par de grupos necesarios para el servidor Exchange
  • Añadir a Andersos como miembro del grupo de Exchange “Delegated Setup” para que pueda instar

Esta es nuestra estructira de OU para la sucursal de Toronte


Paso 01- Crear grupo de seguridad y permisos para el usuario delegado

Creamos un grupo de administración para Toronto, del cual Anderson será miembro, todo ello dentros de la OU Admin. Aquí estarán los administradores de Toronto

.

Delegaremos la administracion de las cuentas al grupo TOR-Admins (por consiguiente a Anderson) para que pueda administrar grupos, usuarios y el rsto. Podemos hacerlo mediante el wizard Delegate, o si queremos que tenga más control total sobre todo Toronto, podemos hacerlo mediante los permisos NTFS. Depende de la manga ancha que queramos dar al usuario


Esto es por permisos NTFS


Paso 02: Crear GPO para asignar al grupo local built-in\administrator de los servidores de Toronto los grupos necesarios para ser administrados por el usuario

Como tenemos un usuario normal en la sucursal, y nuestro objetivo es que pueda administrar los servidores Windows y Exchange que estén en la sucursal, lo que podemos hacer mediante GPO con “Restricted Gropup” es añadir al grupo Builtin\administrators de los servidores que pongamos en la sucursal, al grupo TOR-Admin y Domain admins. De esta forma, el usuario andreson seria miembro del grupo administrador local de los servidores y podría instalar cosas

Vamos a crear 2 GPO; una para la OU Servers, en la cual ira los servidores de archivos, etc, y otra GPO en la OU “Exchange Server” en la cual ira el servidor de Exchange a provisionar, y añadiremos los grupos necesarios al built-in\Administrator


OU Server

Creamos GPO y la Linkamos a esta OU


Llamaremos a esta GPO “TOR-ServerAdministration“. Vamos a Computer Configuration > Policies > Windows Settings > Security Settings > Restricted Groups > > Add Group… y escribimos Administrators (el cual es el grupo built-in\administrator que tienen todos los windows)


En la pestaña “Configure Membership for administors” añadiremos los grupo que formaran parte de built-in\administrartor que todos los servidores que estan en esta OU

  • Administrator (tener en cuenta que cuando NO usamos DOMAIN\ nos estamos refiriendo a los objetos built-in del servidor. Por lo tanto no usamos el browser, ya que es un grupo local, no un grupo de dominio
  • Domain Admins: para que los domain admins tambien opuedan administrar los servidores
  • TOR-Admins group: Los miembros de TOR-Admin (Anderson) podran administrar el servidor, ya que seran miembros del grupo local administrators.


Aunque no es estrictamente necesario, como la GPO solo afecta a “Computert Configuration” podemos deshabilitar la sección de “User Configuration”


Nos quedara algo asi. Todos los servidores que movamos a esta OU el gupo local administrator tendra como miembros a los grupos definidos en la GPO


OU Exchange Server

Para nuestra OU Exchange server, a la cual moveremos el futuro Nuevo servidor de Exchange, le hacemos la misma operación

  • Crear una GPO en esta OU de tipo “Restricted Groups” para añadir al built-in\administrator de este servidor al grupo TOR-Admin, Domain admins y dos grupos nuevos de Exchange que son necesarios

Esto grupos nuevos son de Active Directory y se llaman Exchange Trusted Subsystem y Organization Management.

El porqué de añadirlos, es porque en su momento creamos la organización de Exchange y por defecto Exchange añade estos dos grupos al grupo local de administradores durante la instalación, y al ser provisionados, pues lo necesitamos antes. Eto grupos son grupos de seguridad que nos genera la instalación de Exchange en nuestra organización


Crear la GPO

La nueva GPO la podemos crear de nuevo, o como haremos nosotros más fácilmente,

  1. copiar la GPO y pegar la GPO anterior en el contenedor Group Policy management,
  2. renombrarla por ejemplo a “Toronto exchangeServerAdministration” y
  3. Lincarla a la OU “Exchange server”



Estos son los grupos que debe haber en la GPO de la OU “Exchange Server” dentro de Restricted group

Como viene de la copia, solo tendríamos que añadir los grupos de dominio Exchange Trusted Subsystem y Organization Management.


Paso 3: provisionar el nuevo servidor

Es la parte más fácil del artículo hay que tener unas cosas en cuenta:

  • La Delegación debe ocurrir después un servidor Exchange inicialmente en la organización, es decir, no se puede delegar para crear el primer Exchange, ya que no existiría el grupo “Delegated setup
  • El usuario delegado puede instalar el servidor Exchange (cmd o gráficamente) pero no puede eliminar o add/remove features después de esto
  • El usuario que es capaz de instalar el Exchange server delegado no podrá administrar ningún servidor Exchange ni configurar destinatarios de correo, Solo podrá instalar el Exchange, aunque obviamente le podemos dar luego más permisos para hacer más cosas si queremos
  • La cuenta que instalar el Exchange Server debe ser administrador local (por GPO “Restricted groups” o manualmente”

Para provisionar el servidor podemos logarnos en cualquier servidor del dominio usando un usuario que sea miembro del grupo Organization Management, tendremos acceso a los binarios de Exchange y ejecutamos

  • Setup.com /NewProvisionedServer:<server_name>

Tener en cuenta que el servidor exchange ya debe estar en dominio antes de ejecutar setup.com y el usuario ser miembro del grupo Built-in\administrator local del futuro exchange


Después de provisionarlo nos aparecerá en las consolas de Exchange server como “Provisioned”. Este proceso también añade a la computadora al grupo Exchange Servers, configura permisos y otros requerimientos que permitan la implementación


NOTA: podemos borra el rastro de un Exchange Provisionado que no se ha implementado aun. Para ello abrimos ADSIEdit y borramos la entrada del servidor en la siguiente ruta

Configuration -> Services -> Microsoft Exchange -> { Name of Your Organization } -> Administrative Group -> Exchange Administrative Group -> Servers -> { Delete Your Server Name }


Paso 4: Añadir al usuario al grupo de Exchange “Delegated users”

Los miembros de Delegated setup solo pueden implementar (que no administrar) Exchange que previamente han sido provisionados, pero no pueden administrar los Exchange una vez implementados



Paso 5: Desplegar Exchange Server in the branch office…

Desde la sucursal nos logamos en el servidor Exchange e instalamos el software. Lo podremos hacer porque como hicimos anteriormente, mediante GPO o manualmente el usuario (TOR-Admin) es miembro del grupo local administrators

Here we go finally, logged on as Anderson.Toronto we can finally install the deployment. Just in case let’s check the local administrators groups and the results should be similar to the one shown in Figure 08.


Podemos testear los permisos del usuario con

  • net user <username> /domain



Be the first to comment

Leave a Reply