Active-Directory

防止 Exchange 通訊組的使用者“點擊擴展”?

  • March 15, 2017

我是一個 Unix 人,最近拿起了 powershell 來幫助我的 Exchange 管理員同事在 Exchange 2010 中實施一個具有挑戰性的項目。(我們得到的要求即使不是不可能滿足也是具有挑戰性的。)

我會盡量保持簡單。這是我的第一個問題。

我們被要求必須限制某些 DL,以便只有某些內部 AD 使用者可以發送到 DL。此外,這些 DL 必須在地址簿中保持可見。將“HiddenFromAddressBookEnabled”屬性設置為 $true 是不可接受的。領導層表示,“唯一應該被允許查看群組中的人是可以發送到群組的人。此外,唯一甚至應該能夠看到地址簿中的 DL 條目的人是人誰被允許發送到 DL。” 我不認為這是可行的,因為:

  • 我可以通過呼叫地址簿中的(可見)條目來繞過發件人安全限制,將其放在“收件人:”欄位中,然後點擊 Outlook 中的“+”將其擴展到個人,然後繞過組安全. (我已經證實了這一點。)
  • 我不相信可以選擇性地僅對某些使用者隱藏地址簿條目,而對其他使用者則不行。

所以這是我的問題:

  • 我的理解似乎大部分正確嗎?如果沒有,請隨時提供更正
  • 有沒有辦法只對一組特定使用者隱藏地址簿中的 DL?
  • 有沒有辦法阻止使用者點擊 Outlook 中的“+”號來繞過限制誰可以發送到組的安全限制?從技術上講,您不再發送到一個組 - 只是該組中的確切個人集合。

請 - 鼓勵任何額外的啟示或評論。我認為我們必須回到業務部門並告訴他們他們的要求無法實現。(我還有另外兩個令人討厭的要求,我將針對這些要求提出單獨的問題。)

謝謝大家!

你的理解已經死了。您可能會根據使用者的訪問級別維護許多不同的預設地址列表(只有在他們獲得授權的情況下才允許他們在列表中擁有給定的組),但這非常難看並且幾乎不可能維護。

擺脫可擴展性的一種方法是使用動態通訊組 - 它們在傳輸期間根據查詢進行擴展,因此無法在 Outlook 中進行擴展。

這可以防止訪問好奇的人,但不能訪問確定/知識淵博的人 - 請記住,如果沒有一些討厭的權限更改,許多有問題的使用者和組屬性對於任何具​​有查看它們所需的工具和知識的域使用者都是可讀的。

引用自:https://serverfault.com/questions/311092