Конфигурирование слепых списков рассылки в Outlook для AD/ внешних пользователей с отключенным воспроизведением?

Question

Конфигурирование слепых списков рассылки в Outlook для AD/ внешних пользователей с отключенным воспроизведением?

[Примечание: эти потребности являются внешними требованиями клиента и могут / не изменятся. Пожалуйста, имейте это в виду при ответе]

У нас есть небольшая перегруженная команда администратора Windows 2.5 (2 ветерана, 1 младший). Как группа ИТ-инфраструктуры, нас попросили реализовать следующее:

Мы должны настроить списки рассылки (группы рассылки) для использования в Outlook.
Все списки рассылки будут включать внутренних пользователей AD и внешние почтовые контакты
Для всех расст. группы, Reply-All как для внутренних пользователей, так и для внешних контактов, всегда должны давать сбой, без исключений. (Отскок приемлемый)
БЕЗОПАСНОСТЬ: если человеку не разрешено отправлять в группу рассылки, то:
- Должно быть на 100000% гарантировано, что они НИКОГДА, В ЛЮБОМ ВОЗМОЖНОМ РАЗРЕШЕНИИ, не имеют права обнаруживать существование группы, даже если они являются внутренним пользователем AD.
- Должно быть на 100000% гарантировано, что они НИКОГДА НЕ ДОПУСКАЮТСЯ и способны определить, какие отдельные члены входят в группу, даже если они являются внутренним пользователем AD.
БЕЗОПАСНОСТЬ: если человеку разрешено отправлять в безопасную расст. группа, то:
- Они должны видеть эту группу в определенной адресной книге (мы уже сделали это)
- Они должны легко быть в состоянии определить, кто в группе
НИ В КОЕМ СЛУЧАЕ, ФОРМЕ ИЛИ ФОРМЕ, РАЗРЕШЕНО "ОБУЧЕНИЕ ПОЛЬЗОВАТЕЛЯМ". Люди, отправляющие в эти списки, чрезвычайно не разбираются в технологиях, чрезвычайно влиятельны в организации и не изменят своих привычек никоим образом. Это означает, что мы не можем предложить им использовать поле "Bcc:". Это также означает, что мы не можем предложить "Не нажимайте кнопку" + ", чтобы расширить группу, иначе вы потеряете безопасность".

Напоминание - вы не можете изменить факты выше.

По шкале от 1 до 10, где 1 - "Тривиально", а 10 - "Фактическая невозможность", где оценивается этот проект? У нас есть менеджер, который ломает кнут, не понимая, что требования, как указано выше, довольно противоречивы. Даже учитывая разумное количество времени, я не думаю, что это можно сделать без существенных неудобств и риска для всей инфраструктуры AD. (Чрезвычайные разрешения безопасности, поэтому пользователи не могут копаться в объектах.)

Я не так обеспокоен смелостью и технологиями. подробности о том, как вы реализовали бы такую вещь, но не стесняйтесь поделиться ими. Мне более любопытно выполнимость вышеупомянутого и сколько времени это займет, ЕСЛИ это даже выполнимо.

Рассматривая свой ответ, помните о строгих требованиях. У нас есть трижды подтвержденные они не могут согнуть, даже одним словом. Например, "Вы можете использовать собственный почтовый клиент". Неправильно. Outlook является обязательным клиентом."Вы можете просто спрятать группы". Неправильно. Кто-то в AD все еще может копать и находить их. И т. Д.

БЛАГОДАРЮ ВАС!!! Я парень из Unix, который активно вовлечен в процесс, потому что я достаточно прилично работал с Powershell и у меня есть около 1000 строк кода, чтобы помочь в создании и поддержании этих (тысяч) контактов и групп.

РЕДАКТИРОВАТЬ: Я знаю, что есть много хороших ответов на эту тему, но, пожалуйста, продолжайте думать. Мне нужно как можно больше боеприпасов, чтобы вернуться в бизнес. Пять человек говорят, что это почти невозможно, это здорово. Десять человек говорят, что это даже лучше. Спасибо всем.

2

active-directory security exchange-2010 outlook-2010 distribution-lists

Источник

Larold 30 сен '11 в 17:34

6 ответов

Другие вопросы по тегам active-directory security exchange-2010 outlook-2010 distribution-lists

joeqwerty 30 сен '11 в 17:57 2011-09-30 17:57 · Answer 1 · 2011-09-30 17:57

Вот мое предложение. Хотя он не отвечает на ваш вопрос, он даёт вам указание следовать:

Выполнить это
Неопровержимо опровергнуть его жизнеспособность

Откройте службу поддержки в группе поддержки Microsoft Exchange Server. Это будет стоить вам менее 300 долларов США и поможет вам в этом или докажет PHB, что это невозможно.

Shane Madden 30 сен '11 в 18:03 2011-09-30 18:03 · Answer 2 · 2011-09-30 18:03

10.

Скажи, что я авторизованный пользователь. Я отправляю электронное письмо суперсекретной группе и копирую того, кто не должен знать об этом (или сообщение пересылается им); "безопасность" побеждена. Этот сценарий в значительной степени гарантированно происходит, когда обучение не разрешено.

Одна ужасно уродливая идея, которую я выброшу, заключается в том, чтобы написать пользовательский транспортный агент для обеспечения соблюдения некоторых из сумасшедших правил конфиденциальности, поскольку обычные правила транспорта совсем не достаточно гибки.

Авторизованный пользователь 1 беседует с авторизованным пользователем 2 в коридоре о отправке почты в Super Secret Group X. Несанкционированный пользователь 3 подслушивает. Название группы скомпрометировано.

Обработка групп распределения с уровнем чувствительности ядерных секретов в значительной степени обречена на провал. Как мы уже говорили в некоторых из ваших предыдущих вопросов, есть некоторые способы скрыть группы на стороне Exchange с большим количеством споров, но когда вы пытаетесь полностью реализовать политику с технической стороны, а не с человеческой стороны, в все, это не сработает.

Coding Gorilla 30 сен '11 в 17:42 2011-09-30 17:42 · Answer 3 · 2011-09-30 17:42

В ваших масштабах, учитывая ваши требования, я бы дал 9.

Помимо значительного количества кода, плагины exchange/outlook и т. Д. Exchange/Outlook просто не предназначены для удовлетворения ваших потребностей. Есть много ваших требований, которые теоретически возможны, но что мешает мне, так это:

Это должно быть на 100.000% гарантировано, что они НИКОГДА НЕ ДОПУСКАЮТСЯ

Выполнение многих из этих вещей в лучшем случае было бы "подделкой", поэтому я бы никогда не захотел поддержать это утверждение.

mrdenny 30 сен '11 в 18:31 2011-09-30 18:31 · Answer 4 · 2011-09-30 18:31

Звучит в принципе невозможно. В частности...

Должно быть на 100 000% гарантировано, что они НИКОГДА НЕ ДОПУСКАЮТСЯ и способны определить, какие отдельные члены входят в группу, даже если они являются внутренним пользователем AD.

а также

Они должны легко быть в состоянии определить, кто в группе

Не очень хорошо выровняйтесь. В соответствии с рекомендацией @joequerty, я бы позвонил MS (кажется, вы, вероятно, довольно большой магазин и, вероятно, у вас есть контракт на поддержку), и посмотрю, что они говорят обо всем этом. У них могут быть суперсекретные хаки, которые они могут использовать, чтобы это произошло, которые не публикуются во внешнем мире.

Oskar Duveborn 12 мар '13 в 09:59 2013-03-12 09:59 · Answer 5 · 2013-03-12 09:59

Это электронная почта, о которой мы говорим - в конце концов, она небезопасна по замыслу. Вместо этого получите секретный документ / систему связи.

Почему шифрование и управление цифровыми правами на фактическое содержание сообщения не являются частью требования? Разве это не намного важнее? ^^

tl; dr: убить его, убить его огнем.

Zlatko 12 мар '13 в 09:20 2013-03-12 09:20 · Answer 6 · 2013-03-12 09:20

Я бы тоже дал 9,5. Еще одна безумная идея (вероятно, также в масштабе 9,5) - развернуть сервер Exchange для каждой группы и заставить их всех работать вместе. Или даже сервер Exchange для каждого из пользователей.

Учитывая миллион разработчиков, это может быть сделано.

Одна сторона записка. Вы должны ясно дать понять бизнесу, что это может быть осуществимо при чрезвычайных затратах (тысячи, десятки или сотни тысяч долларов, в зависимости от того, кто это делает) технически. Социальный аспект (точная копия, утечки в коридоре) гарантированно нарушит некоторые требования.

Изменить: помимо социального аспекта, у вас есть внешние пользователи, которые могут иметь приложение для управления контактами spyware, которое утечет имена групп.