Предотвратить пользовательское "клик-расширение" группы рассылки Exchange?

Question

Предотвратить пользовательское "клик-расширение" группы рассылки Exchange?

Я - парень из Unix, который недавно выбрал PowerShell, чтобы помочь моим коллегам по администрированию Exchange реализовать сложный проект в Exchange 2010. (Требования, которые нам предъявляются, являются сложными, если не невозможными, выполнить их).

Я постараюсь сохранить это простым. Вот мой первый вопрос.

Нам дали требование, чтобы определенные DL были ограничены, так что только определенные внутренние пользователи AD могут отправлять DL. Кроме того, эти DL должны оставаться видимыми в адресной книге. Установка для свойства 'HiddenFromAddressBookEnabled' значения $true недопустима. Руководство заявило, что "Единственные люди, которым должно быть разрешено видеть, кто находится в группе, - это люди, которые могут отправлять в группу. Кроме того, единственными людьми, которые должны иметь возможность УВИДЕТЬ записи DL в адресной книге, являются люди. кому разрешено отправлять в DL." Я не думаю, что это выполнимо, потому что:

Я могу обойти ограничения безопасности отправителя, вызвав (видимую) запись в адресной книге, поместив ее в поле "Кому:", а затем нажав "+" в Outlook, чтобы развернуть ее для отдельных людей, что затем обходит безопасность группы, (Я подтвердил это.)
Я не верю, что можно выборочно скрывать записи адресной книги только от определенных пользователей, но не от других.

Итак, вот мои вопросы:

Мое понимание кажется в основном правильным? Если нет, не стесняйтесь предлагать исправления
Есть ли способ скрыть DL в адресных книгах только от определенного набора пользователей?
Есть ли способ запретить пользователям нажимать на знак "+" в Outlook, чтобы обойти ограничения безопасности, ограничивающие количество отправляемых в группу? Технически, вы больше не отправляете в группу - просто точный набор людей, которые находятся в этой группе.

Пожалуйста - любое дополнительное просвещение или комментарии приветствуются. Я думаю, что мы должны вернуться к бизнесу и сказать им, что их требования не достижимы. (И у меня есть два других неприятных требования, для которых я начну отдельные вопросы.)

Спасибо всем!

5

active-directory exchange outlook groups distribution

Источник

Larold 13 сен '11 в 21:49

4 ответа

Решение

Если вы зайдете в ADUC и щелкните правой кнопкой мыши, выберите свойства, редактор атрибутов, hideDLMembership (установите для него значение true), они смогут видеть группу, но не смогут расширять ее членов.

3

Источник

Mark Gary 23 май '14 в 17:00

Если вы включите модерацию на DL, пользователи не смогут щелкнуть знак "+", чтобы развернуть группу. Попытка сделать это в Outlook приведет к следующему сообщению:

введите описание здесь

Конечно, это означает, что кому-то (или группе людей, если необходимо) затем придется модерировать все сообщения, которые отправляются на этот DL. В нашем случае мы все равно хотели модерации, поэтому это хорошо сработало для наших нужд.

(Это работало для меня на Exchange 2010 SP3)

2

Источник

RSW 15 апр '15 в 21:39

Я знаю, что это старый, но для любого, кто ищет способ сделать это, есть раздел реестра, который вы можете добавить, чтобы отключить расширения списка рассылки. Объект групповой политики - лучшее средство для принудительного применения ко всем компьютерам в вашей организации.

Outlook 2007 - HKCU \ Software \ Microsoft \ Office \ 12.0 \ Outlook \ Options \ Mail \ DisableDLExpansion = 1 Outlook 2010 - HKCU \ Software \ Microsoft \ Office \ 14.0 \ Outlook \ Options \ Mail \ DisableDLExpansion = 1 Outlook 2013 - HKCU \ Software \ Microsoft \ Office \ 15.0 \ Outlook \ Options \ Mail \ DisableDLExpansion = 1 Outlook 2016 - HKCU \ Software \ Microsoft \ Office \ 16.0 \ Outlook \ Options \ Mail \ DisableDLExpansion = 1

Ключ DisableDLExpansion - DWORD (32-разрядный), и вы устанавливаете значение 1.

1

Источник

a2mike 15 мар '17 в 12:44

Другие вопросы по тегам active-directory exchange outlook groups distribution

Shane Madden 13 сен '11 в 22:09 2011-09-13 22:09 · Accepted Answer · 2011-09-13 22:09

Ваше понимание мертво. Вы могли бы потенциально поддерживать несколько различных списков адресов по умолчанию, основанных на уровне доступа пользователя (только позволяя им иметь определенную группу в своем списке, если они авторизованы), но это невероятно некрасиво и было бы почти невозможно поддерживать.

Одним из способов избавления от расширяемости было бы использование динамических групп рассылки - они расширяются на основе запроса во время транспортировки и, следовательно, не могут быть расширены в Outlook.

Это предотвращает доступ к любопытным, но не определенным / знающим - имейте в виду, что без каких-либо неприятных изменений разрешений многие рассматриваемые атрибуты пользователя и группы доступны для чтения любому пользователю домена с инструментами и знаниями, необходимыми для их просмотра.