防止 Exchange 通訊組的使用者“點擊擴展”？

我是一個 Unix 人，最近拿起了 powershell 來幫助我的 Exchange 管理員同事在 Exchange 2010 中實施一個具有挑戰性的項目。（我們得到的要求即使不是不可能滿足也是具有挑戰性的。）

我會盡量保持簡單。這是我的第一個問題。

我們被要求必須限制某些 DL，以便只有某些內部 AD 使用者可以發送到 DL。此外，這些 DL 必須在地址簿中保持可見。將“HiddenFromAddressBookEnabled”屬性設置為 $true 是不可接受的。領導層表示，“唯一應該被允許查看群組中的人是可以發送到群組的人。此外，唯一甚至應該能夠看到地址簿中的 DL 條目的人是人誰被允許發送到 DL。” 我不認為這是可行的，因為：

• 我可以通過呼叫地址簿中的（可見）條目來繞過發件人安全限制，將其放在“收件人：”欄位中，然後點擊 Outlook 中的“+”將其擴展到個人，然後繞過組安全. （我已經證實了這一點。）
• 我不相信可以選擇性地僅對某些使用者隱藏地址簿條目，而對其他使用者則不行。

所以這是我的問題：

• 我的理解似乎大部分正確嗎？如果沒有，請隨時提供更正
• 有沒有辦法只對一組特定使用者隱藏地址簿中的 DL？
• 有沒有辦法阻止使用者點擊 Outlook 中的“+”號來繞過限制誰可以發送到組的安全限制？從技術上講，您不再發送到一個組 - 只是該組中的確切個人集合。

請 - 鼓勵任何額外的啟示或評論。我認為我們必須回到業務部門並告訴他們他們的要求無法實現。（我還有另外兩個令人討厭的要求，我將針對這些要求提出單獨的問題。）

謝謝大家！

你的理解已經死了。您可能會根據使用者的訪問級別維護許多不同的預設地址列表（只有在他們獲得授權的情況下才允許他們在列表中擁有給定的組），但這非常難看並且幾乎不可能維護。

擺脫可擴展性的一種方法是使用動態通訊組 - 它們在傳輸期間根據查詢進行擴展，因此無法在 Outlook 中進行擴展。

這可以防止訪問好奇的人，但不能訪問確定/知識淵博的人 - 請記住，如果沒有一些討厭的權限更改，許多有問題的使用者和組屬性對於任何具​​有查看它們所需的工具和知識的域使用者都是可讀的。

引用自：https://serverfault.com/questions/311092