Применимо к: Exchange Server 2010 SP1

Последнее изменение раздела: 2011-02-01

Функция поиска в нескольких почтовых ящиках Microsoft Exchange Server 2010 помогает организациям, соблюдающим требования юридического представления (в рамках организационной политики, обеспечения соответствия нормативным требованиям или судебных процессов), выполнять поиск соответствующего содержимого в почтовых ящиках Exchange.

Функция поиска в нескольких почтовых ящиках использует индексы содержимого, созданные службой поиска Exchange. На панели управления Exchange представлен интерфейс поиска, простой для использования нетехническим персоналом, например юристами и должностными лицами, отвечающими за соблюдение нормативных требований, делопроизводителями и сотрудниками кадрового отдела. Функция управления доступом на основе ролей (RBAC) позволяет группе ролей управления Управление обнаружением делегировать задачи обнаружения нетехническому персоналу без необходимости предоставлять пользователям расширенные права, с помощью которых они могут вносить изменения в конфигурацию Exchange.

Содержание

Случаи использования поиска в нескольких почтовых ящиках

Поиск Exchange и синтаксис расширенных запросов

Группа ролей управления обнаружением и роли управления

Почтовые ящики обнаружения

Выполнение поиска на обнаружение

Просмотр результатов поиска

Ведение журнала операций поиска на обнаружение

Судебное удержание и обнаружение

Необходимы задачи управления, связанные с поиском в нескольких почтовых ящиках? См. раздел Управление поиском по нескольким почтовым ящикам.

Случаи использования поиска в нескольких почтовых ящиках

 

Ниже приведены распространенные случаи использования поиска в нескольких почтовых ящиках.

  • Юридическое раскрытие сведений   Для организаций, вовлеченных в судебный процесс, выполнение запросов на юридическое раскрытие информации, содержащейся в сообщениях, является одной из наиболее важных задач. Без специального средства поиск записей сообщений в нескольких почтовых ящиках, находящихся в разных базах данных почтовых ящиков, может быть ресурсоемкой задачей, занимающей много времени. Поиск в нескольких почтовых ящиках дает пользователю возможность искать сведения в большом количестве сообщений электронной почты, хранящихся в почтовых ящиках на одном или нескольких серверах Exchange 2010 и в разных расположениях.

  • Внутреннее расследование   Функция поиска в нескольких почтовых ящиках помогает упростить выполнение запросов менеджеров или юридического отдела, подаваемых в ходе внутренних расследований.

  • Внутреннее расследование   Функция поиска в нескольких почтовых ящиках помогает упростить выполнение запросов отдела кадров, необходимых в ходе стандартной процедуры мониторинга электронной почты или поиска определенных сведений.

#RTT

Поиск Exchange и синтаксис расширенных запросов

Функция поиска в нескольких почтовых ящиках использует индексы содержимого, созданные службой поиска Exchange. Для расширения функциональности к поиску Exchange были добавлены новые возможности, необходимые для поиска в нескольких почтовых ящиках. Благодаря единому механизму индексации содержимого для функции поиска в нескольких почтовых ящиках не требуются дополнительные ресурсы для сканирования и индексации баз данных почтовых ящиков при обработке ИТ-отделом запросов на обнаружение.

Дополнительные сведения о службе поиска Exchange см. в разделе Общие сведения о подсистеме поиска Exchange.

В функции поиска в нескольких почтовых ящиках также применяется синтаксис расширенных запросов (AQS), известный синтаксис запросов, используемый службой поиска Windows и мгновенным поиском в Microsoft Office Outlook 2007 и Outlook 2010. Пользователи, знакомые с синтаксисом AQS, могут легко создать сложные поисковые запросы для поиска индексов содержимого.

Дополнительные сведения о синтаксисе AQS см. в статье Использование синтаксиса расширенных запросов в программировании.

#RTT

Группа ролей управления обнаружением и роли управления

Чтобы пользователи могли выполнять поиск на обнаружение, их необходимо добавить в группу ролей управления доступом на основе ролей (RBAC) Управление обнаружением. Данная группа ролей состоит из двух ролей управления: роли поиска в почтовых ящиках, которая позволяет пользователям выполнять поиск на обнаружение, и роли юридического удержания, которая позволяет пользователям включать для почтовых ящиков функцию судебного удержания. Дополнительные сведения о группе ролей RBAC Управление обнаружением см. в разделе Управление обнаружением. Дополнительные сведения об управлении доступом на основе ролей см. в разделе Общие сведения об управлении доступом на основе ролей.

По умолчанию группа ролей Управление обнаружением не имеет участников. Разрешения на выполнение задач обнаружения не назначаются ни одному пользователю. Администраторы Exchange также по умолчанию не имеют разрешений на выполнение поиска на обнаружение. Администраторы Exchange, которые являются членами группы ролей управления Управление организацией, могут добавлять пользователей в группу ролей Управление обнаружением и создавать настраиваемые группы ролей, чтобы ограничить область действия диспетчера обнаружения небольшой группой пользователей. Аудит изменений в роли RBAC обеспечивает ведение соответствующих записей для отслеживания назначений группы ролей Управление обнаружением. Дополнительные сведения см. в разделе Общие сведения о ведении журнала аудита администратора.

Важно!
Для пользователей, которые не добавлены в группу ролей Управление обнаружением или которым не назначена роль поиска в почтовых ящиках, недоступен пользовательский интерфейс и командлеты поиска в нескольких почтовых ящиках на панели управления Exchange и в командной консоли Exchange, соответственно.

Дополнительные сведения о добавлении пользователей в группу ролей Управление обнаружением см. в разделе Добавление пользователя в группу ролей «Управление обнаружением».

Внимание!
Функция поиска в нескольких почтовых ящиках — это мощный инструмент, который предоставляет пользователям с соответствующими разрешениями потенциальный доступ ко всем записям системы обмена сообщениями, хранящимся в организации Exchange 2010. Очень важно вести наблюдение и контролировать действия пользователей по обнаружению, в том числе добавление участников в группу ролей Управление обнаружением или любую другую группу, имеющую роль управления поиском в почтовых ящиках, назначение роли управления поиском в почтовых ящиках и разрешение доступа к почтовым ящикам обнаружения.

#RTT

Почтовые ящики обнаружения

При выполнении поиска на обнаружение необходимо указать целевой почтовый ящик, в котором будут храниться результаты поиска. Почтовый ящик найденных сообщений — это специальный почтовый ящик Exchange 2010, который предоставляет следующие возможности.

  • Простой и безопасный выбор целевого почтового ящика   При создании поиска на обнаружение с помощью панели управления Exchange для хранения результатов поиска доступны только почтовые ящики обнаружения. Это исключает необходимость сортировать длинный список почтовых ящиков, доступных в организации. Также исключается вероятность выбора диспетчером обнаружения почтового ящика другого пользователя или незащищенного почтового ящика для хранения потенциально конфиденциального содержимого сообщений.

  • Большая квота хранилища почтовых ящиков   Целевой почтовый ящик должен вмещать и хранить большое количество данных сообщений, возвращаемых при поиске на обнаружение. По умолчанию почтовые ящики обнаружения имеют квоту хранилища почтовых ящиков 50 гигабайт (ГБ). Эту квоту можно изменить в соответствии с требованиями.

    Примечание.
    В Exchange 2010 с пакетом обновления 1 (SP1) диспетчер обнаружения может оценивать результаты поиска с целью определить общее число и размер элементов, возвращенных при поиске на обнаружение.
  • Безопасность по умолчанию   Как и другие типы почтовых ящиков, почтовый ящик обнаружения сопоставлен с учетной записью пользователя Служба каталогов Active Directory. Однако по умолчанию эта учетная запись отключена. К почтовому ящику обнаружения имеют доступ только явно авторизованные пользователи. Участники группы ролей Управление обнаружением имеют разрешения на полный доступ к почтовому ящику обнаружения по умолчанию. Однако разрешения на доступ к дополнительным потовым ящикам обнаружения не назначаются ни для каких пользователей.

    Важно!
    В Exchange 2010 SP1 можно включить ведение журнала аудита почтовых ящиков для аудита доступа к почтовым ящикам и действий с ними, например доступа к папкам и сообщениям и их удаления владельцами почтовых ящиков, делегатами и администраторами. Дополнительные сведения см. в разделе Общие сведения о ведении журнала аудита почтовых ящиков.
  • Отключение доставки электронной почты   Несмотря на то что почтовые ящики обнаружения отображаются в списках адресов Exchange, пользователи не могут отправлять в них сообщения электронной почты. Доставка электронной почты в почтовые ящики обнаружения запрещена с помощью ограничений доставки. Это позволяет сохранить целостность результатов поиска.

Программа установки Exchange 2010 создает один почтовый ящик найденных сообщений с отображаемым именем Почтовый ящик поиска методом обнаружения. Создать дополнительные почтовые ящики обнаружения можно с помощью командной консоли Exchange. По умолчанию дополнительные потовые ящики обнаружения не имеют назначенных разрешений на доступ к почтовым ящикам. Дополнительные сведения о создании почтового ящика обнаружения см. в разделе Создание почтового ящика обнаружения.

Функция поиска в нескольких почтовых ящиках также использует системные почтовые ящики с кратким именем SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9} для хранения метаданных поиска в нескольких почтовых ящиках. Системные почтовые ящики не отображаются в консоли управления Exchange и в списках адресов Exchange. Прежде чем удалить базу данных почтовых ящиков, в которой размещен системный почтовый ящик, используемый функцией поиска в нескольких почтовых ящиках, необходимо переместить этот почтовый ящик в другую базу данных.

#RTT

Выполнение поиска на обнаружение

Поиск на обнаружение могут выполнять пользователи, которые были добавлены в группу ролей Управление обнаружением. Дополнительные сведения о группе ролей Управление обнаружением см. в подразделе Группа ролей управления обнаружением и роли управления выше в этом разделе.

Поиск на обнаружение можно выполнять, используя веб-интерфейс на панели управления Exchange, как показано на следующем рисунке. Он облегчает нетехническому персоналу (делопроизводителям, должностным лицам, отвечающим за соблюдение нормативных требований, юристам или сотрудникам отдела кадров) выполнение поиска в нескольких почтовых ящиках. Для выполнения поиска на обнаружение можно также использовать командную консоль.


Выполнение поиска почтового ящика

При выполнении поиска в Exchange 2010 создается объект поиска. Этот объект можно использовать для запуска, остановки, изменения или удаления поиска. Элементы, возвращенные поиском на обнаружение, копируются в почтовый ящик обнаружения, выбранный в качестве целевого почтового ящика для этого поиска. Возможно параллельное выполнение нескольких поисков.

Примечание.
Поиск в нескольких почтовых ящиках является функцией сервера Exchange 2010. C помощью этой функции можно выполнять поиск только в почтовых ящиках, расположенных на сервере Exchange 2010. За один раз можно выполнить поиск не более чем в 25 000 почтовых ящиках. Если количество почтовых ящиков превышает 25 000, поиск можно разбить на несколько этапов. Например, можно выполнить поиск в почтовых ящиках пользователей в группе рассылки или динамической группе рассылки.

Функция поиска в нескольких почтовых ящиках не поддерживает поиск сообщений в формате PST. Чтобы сократить расходы на управление и юридическое раскрытие сведений, рекомендуется выделить для пользователей архивные почтовые ящики. Дополнительные сведения об архивных почтовых ящиках см. в разделе Общие сведения о личных архивах.

Следующие сведение необходимы для выполнения поиска на обнаружение.

  • Ключевые слова   Для поиска содержимого сообщения можно задать ключевые слова и фразы. Также можно использовать логические операторы AND, OR и NOT. Для поиска точного совпадения фразы из нескольких слов необходимо заключить фразу в кавычки. Например, при поиске фразы "план и конкуренция" будут возвращены сообщения, содержащие точное совпадение этой фразы, тогда как при указании фразы план AND конкуренция будут возвращены сообщения, содержащие слова план и конкуренция в любой части сообщения. Можно также использовать синтаксис расширенных запросов (AQS). Дополнительные сведения см. в статье Использование синтаксиса расширенных запросов в программировании. Дополнительные сведения о расширенном поиске по ключевым словам см. в статье Расширенный поиск по ключевым словам.

    Примечание.
    Функция поиска в нескольких почтовых ящиках не поддерживает регулярные выражения.
    Логические операторы, такие как AND и OR, нужно писать заглавными буквами, чтобы отличать их от ключевых слов. При использовании в запросе нескольких логических операторов (AND, OR, NOT и т. д.) рекомендуется ставить скобки, чтобы избежать ошибок и неправильной интерпретации. Например, если нужно найти сообщения, содержащие Слово_А или Слово_Б И Слово_В или Слово_Г, необходимо указать (Слово_А OR Слово_Б) AND (Слово_В OR Слово_Г).

  • Отправители или получатели   Чтобы сузить поиск, можно указать отправителей или получателей сообщений. Можно использовать адреса электронной почты, краткие имена или имя домена для поиска элементов, отправленных или полученных от всех пользователей домена. Например, чтобы найти электронную почту, отправленную кем-либо из компании Contoso Ltd, в поле От на панели управления Exchange введите @contoso.com. Значение @contoso.com можно также указать в параметре Senders в командной консоли.

  • Диапазон дат   По умолчанию поиск в нескольких ящиках не ограничивается диапазоном дат. Чтобы найти сообщения, отправленные в определенный период времени, можно сузить поиск, указав даты начала и окончания периода. Если не задать дату окончания, то в результатах поиска будут показываться последние результаты каждый раз, когда поиск осуществляется заново.

  • Почтовые ящики   Поиск можно осуществлять во всех почтовых ящиках, расположенных на серверах почтовых ящиков Exchange 2010 в организации Exchange, или в указанных почтовых ящиках. Также можно указать группу рассылки, чтобы включить в поиск пользователей почтовых ящиков, которые входят в эту группу.

  • Личный архив   Если для пользователя почтового ящика включен личный архив, то по умолчанию архивный почтовый ящик включается в поиск в нескольких почтовых ящиках. На панели управления Exchange отсутствует параметр, с помощью которого можно переопределить это поведение. Чтобы исключить архивные почтовые ящики из поиска, необходимо создать или изменить поиск в командной консоли.

  • Типы сообщений   По умолчанию поиск выполняется только в сообщениях электронной почты. Тем не менее в поиск можно включить следующие типы сообщений: контакты, документы, диалоги мгновенных сообщений, журнал, собрания и заметки.

  • Вложения   Функция поиска в нескольких почтовых ящиках выполняет поиск во вложениях в формате, поддерживаемом службой поиска Exchange. Поддержку дополнительных форматов файлов можно добавить, установив для необходимых типов файлов фильтры поиска (известные как iFilter) на серверах почтовых ящиков.

  • Элементы, поиск в которых невозможен   Это элементы почтового ящика, которые не могут быть проиндексированы службой поиска Exchange. К причинам, по которым это невозможно, относятся: отсутствие установленного фильтра для вложенных файлов, ошибка фильтра и зашифрованные сообщения. При создании поиска на обнаружение элементы, поиск в которых невозможен, можно включить в результаты поиска.

  • Списки проверенных файлов   Определенные типы файлов не содержат пригодные для индексации данные и поэтому не индексируются службой поиска Exchange. Такие типы файлов не являются элементами, не поддерживающими поиск.  Элементы почтовых ящиков, содержащие файлы таких типов, не отображаются в списке элементов, не поддерживающих поиск. Дополнительные сведения см. в разделе Фильтры по умолчанию для подсистемы поиска Exchange.

  • Зашифрованные элементы   Поскольку сообщения с шифрованием S/MIME не индексируются службой поиска Exchange, то при поиске в нескольких почтовых ящиках поиск этих сообщений не выполняется. Если выбран параметр включения в результаты поиска элементов, поиск в которых невозможен, сообщения с шифрованием S/MIME возвращаются как элементы, поиск в которых не выполняется.

  • Элементы с защитой IRM   Сообщения, защищенные службой управления правами на доступ к данным (IRM), индексируются службой поиска Exchange и включаются в результаты поиска на обнаружение. Сообщения необходимо защищать с помощью сервера служб управления правами Служба каталогов Active Directory (AD RMS) в том же лесу Служба каталогов Active Directory, что и сервер почтовых ящиков Exchange 2010. Дополнительные сведения об управлении правами на доступ к данным см. в разделе Защита прав.

    Важно!
    Если службе поиска Exchange не удалось проиндексировать сообщение с защитой IRM, по причине ошибки расшифровки или отключенной службы IRM, то защищенное сообщение не добавляется в список элементов, поиск в которых не выполняется. Если выбран параметр включения в результаты поиска элементов, поиск в которых невозможен, результаты поиска могут не содержать защищенные сообщения, расшифровать которые не удалось.

    Чтобы включить сообщения с защитой IRM в поиск, можно создать другой поиск на обнаружение, результаты которого будут содержать сообщения с вложениями в формате RPMSG. Для поиска всех защищенных сообщений можно использовать строку поискового запроса attachment:rpmsg. Это позволит найти все сообщения с защитой IRM в почтовых ящиках, в которых выполняется поиск, независимо от наличия индекса. Однако это может привести к дублированию некоторых результатов поиска в случаях, когда первый поиск возвращает сообщения, соответствующие заданным критериям, включая защищенные сообщения с успешно выполненной индексацией. При этом защищенные сообщения, которые не были индексированы, не возвращаются. Результаты второго поиска всех защищенных сообщений также содержат защищенные сообщения, успешно индексированные и возвращенные при первом поиске. Кроме того, защищенные сообщения, возвращенные в результатах второго поиска, могут не соответствовать критериям поиска, например ключевым словам, заданным для первого поиска.
  • Дедупликация  В Exchange 2010 SP1 можно включить дедупликацию результатов поиска на обнаружение, чтобы копировать в почтовый ящик найденных сообщений только по одному экземпляру каждого сообщения. Дедупликация имеет следующие преимущества.

    • Более низкие требования к хранилищу и меньший размер почтового ящика обнаружения благодаря уменьшению количества копируемых сообщений.

    • Снижение нагрузки на диспетчеров обнаружения, юристов и других лиц, участвующих в анализе результатов поиска на обнаружение.

    • Сокращение затрат на обнаружение в зависимости от числа дубликатов в результатах поиска.

    Если выбрать почтовый ящик найденных сообщений, расположенный на сервере Exchange 2010, который не был обновлен до Exchange 2010 SP1, дедупликация результатов поиска выполняться не будет. Чтобы использовать дедупликацию, необходимо выбрать почтовый ящик найденных сообщений, расположенный на сервере почтовых ящиков Exchange 2010 SP1.

  • Оценки результатов поиска   При создании поиска на обнаружение в Exchange 2010 SP1 диспетчер обнаружения может выбрать возможность оценки результатов поиска, прежде чем принять решение о копировании сообщений, возвращенных в результатах поиска, в почтовый ящик найденных сообщений. Оценка результатов поиска включает общее число элементов, возвращенных в результатах поиска, их общий размер и разделение элементов, возвращенных для каждого указанного ключевого слова. Оценка результатов поиска имеет следующие преимущества.

    • Диспетчер обнаружения может определить эффективность поискового запроса. Используя оценки результатов поиска, диспетчер обнаружения может провести анализ what-if для поисковых запросов и ключевых слов, чтобы впоследствии создавать более эффективные запросы.

    • Диспетчер обнаружения может избежать копирования большого числа элементов, не отвечающих целям поиска, но требующих анализа.

    • В случаях, когда в результате поиска возвращается большое число элементов, которые нужно скопировать, диспетчер обнаружения вместе с администратором Exchange может определить, хватит ли свободного пространства для хранения результатов в почтовом ящике обнаружения.

    Примечание.
    Дедупликация не учитывается при оценке результатов поиска. Когда пользователь снова выполняет поиск с копированием сообщений в почтовый ящик обнаружения, фактическое число скопированных сообщений может быть меньше значения, полученного в результате оценочного поиска.

Дополнительные сведения о выполнении поиска на обнаружение см. в разделе Создание поиска методом обнаружения.

#RTT

Просмотр результатов поиска

Результаты поиска копируются в почтовый ящик обнаружения, выбранный в качестве целевого почтового ящика для этого поиска. Если используется целевой почтовый ящик, который не является почтовым ящиком обнаружения по умолчанию, авторизованным пользователям необходимо назначить разрешения на доступ к этому почтовому ящику. Полномочные пользователи могут получить доступ к почтовому ящику с помощью приложения Microsoft Office Outlook Web App или Outlook.

Дополнительные сведения о назначении разрешений на полный доступ к почтовому ящику см. в разделе Управление разрешениями «Полный доступ».

Если диспетчер обнаружения выбирает вариант с копированием результатов поиска в почтовый ящик обнаружения, то в целевом почтовом ящике создается папка с именем поискового запроса. Для каждого почтового ящика, в котором выполняется поиск, создается вложенная папка для хранения сообщений, найденных в этом почтовом ящике. Имя вложенной папки состоит из краткого имени пользователя почтового ящика, даты и времени создания поиска. Сообщения копируются в папку, имя которой совпадает с именем их расположения в почтовом ящике. Например, если поиск имеет имя Discovery-ProjectContoso, и возвращается сообщение, расположенное в папке «Входящие» в основном почтовом ящике пользователя Павел Шевелев, иерархия папок, созданных в почтовом ящике обнаружения выглядит следующим образом Discovery-ProjectContoso -> Павел Шевелев-4/9/2009 15:57:10 -> Основной почтовый ящик > Входящие. Все флаги сообщений, включая состояние прочитано/непрочитано и к исполнению, сохраняются.

Примечание.
Если диспетчер обнаружения выбирает дедупликацию, то единственный экземпляр сообщения, найденного в разных местах по всем почтовым ящикам, участвующим в поиске, копируется в папку Results - <отметка времени> Если диспетчер обнаружения выбирает для поиска полное ведение журнала, то журнал поиска будет содержать запись для каждого экземпляра сообщения.

Примечания

В Exchange 2010 SP1, просматривая сообщения, скопированные в почтовый ящик найденных сообщений, диспетчер обнаружения может создавать примечания к сообщениям. Впоследствии диспетчер обнаружения может искать в почтовом ящике обнаружения сообщения с примечаниями, которые содержат определенные слова или фразы.

Диспетчеры обнаружения могут использовать примечания для связывания с сообщением номера дела или другого уникального идентификатора, что упрощает поиск всех элементов с таким номером.

Примечание.
Примечания хранятся вместе с сообщением в почтовом ящике обнаружения. При передаче сообщений стороннему лицу следует учитывать, что информация в примечаниях может стать доступной получателю. Рекомендуется не хранить в примечаниях конфиденциальные сведения.

#RTT

Ведение журнала операций поиска на обнаружение

Для операций поиска на обнаружение доступны два типа ведения журнала.

  • Обычное ведение журнала   Обычное ведение журнала включено по умолчанию для всех операций поиска в почтовых ящиках. В нем регистрируются сведения о поиске и выполнившем его пользователе. Сведения, собираемые при простом ведении журнала, включаются в текст сообщения электронной почты, которое отправляется в почтовый ящик, где хранятся результаты поиска. Это сообщение находится в папке, созданной для хранения результатов поиска.

  • Полное ведение журнала   При полном ведении журнала в нем регистрируются сведения о всех сообщениях, возвращенных в поиске. Эти сведения содержатся в CSV-файле, который вкладывается в сообщение электронной почты, содержащее сведения простого ведения журнала. Для имени CSV-файла используется имя поиска. Эти сведения могут потребоваться для делопроизводства или обеспечения соответствия требованиям. Чтобы включить полное ведение журнала, выберите на панели управления Exchange Включить полное ведение журнала или укажите уровень ведения журнала в командной консоли с помощью параметра LogLevel. В Exchange 2010 SP1 файл журнала (.csv) включается в сжатый файл (.zip).

Примечание.
Ведение журнала можно отключить при создании или изменении поиска в командной консоли.

Дополнительные сведения см. в статье Ведение журнала поиска в нескольких почтовых ящиках.

#RTT

Судебное удержание и обнаружение

При выполнении запросов на раскрытие сведений может потребоваться сохранять содержимое почтовых ящиков до завершения судебного процесса. Для этого необходимо, чтобы сохранялись как удаленные, так и измененные пользователем сообщения. В Exchange 2010 эта задача решается при помощи судебного удержания.

После помещения почтового ящика на судебное удержание сообщения и другие элементы, удаленные пользователем, а также все изменения, внесенные в определенные свойства элементов почтового ящика, сохраняются в папке «Элементы для восстановления». Дополнительные сведения о судебном удержании см. в разделе Общие сведения о хранении юридической информации. Дополнительные сведения о помещении почтового ящика на судебное удержание см. в разделе Включение режима хранения юридической информации для почтового ящика.

#RTT



Интерфейс поиска на обнаружение