我是一名 Unix 人员,最近选择了 powershell 来帮助我的 Exchange 管理员同事在 Exchange 2010 中实施一个具有挑战性的项目。(我们面临的要求很有挑战性,甚至不可能满足。)
我会尽量简单回答。这是我的第一个问题。
我们已收到要求,必须限制某些 DL,以便只有某些内部 AD 用户才能向 DL 发送消息。此外,这些 DL 必须在地址簿中保持可见。将“HiddenFromAddressBookEnabled”属性设置为 $true 是不可接受的。领导层表示,“唯一应该被允许查看谁在组中的人是可以向该组发送消息的人。此外,唯一应该能够查看地址簿中的 DL 条目的人是被允许向 DL 发送消息的人。”我认为这不可行,因为:
- 我可以通过调出地址簿中的(可见)条目、将其放入收件人:字段,然后单击 Outlook 中的“+”将其扩展为个人来绕过发件人安全限制,这样就可以绕过组安全。(我已经证实了这一点。)
- 我不相信可以有选择地仅对某些用户隐藏地址簿条目,而不对其他用户隐藏。
我的问题是:
- 我的理解是否基本正确?如果不对,欢迎提出更正
- 有没有什么办法可以隐藏地址簿中的 DL,只让特定的一组用户看到?
- 有没有办法阻止用户点击 Outlook 中的“+”符号,从而绕过限制谁可以向群组发送邮件的安全限制?从技术上讲,您不再向群组发送邮件,而是向群组中的特定个人发送邮件。
请 - 欢迎提供任何额外的启发或评论。我认为我们必须回到业务部门并告诉他们他们的要求无法实现。(我还有另外两个令人讨厌的要求,我将针对它们提出单独的问题。)
感谢大家!
答案1
您的理解完全正确。您可以根据用户的访问级别维护多个不同的默认地址列表(仅当他们获得授权时才允许他们在列表中拥有给定的组),但这非常丑陋,并且几乎不可能维护。
摆脱可扩展性的一种方法是使用动态通讯组 - 它们根据传输过程中的查询进行扩展,因此无法在 Outlook 中扩展。
这可以防止好奇的人访问,但不能防止有决心/知识的人访问 - 请记住,如果没有一些令人讨厌的权限更改,任何拥有查看所需工具和知识的域用户都可以读取许多相关的用户和组属性。
答案2
如果您进入 ADUC 并右键单击,属性,属性编辑器,hideDLMembership(将其设置为 true)他们将能够看到该组但无法展开其成员。
答案3
如果你启用审核在 DL 上,用户将无法单击“+”号来展开组。在 Outlook 中尝试执行此操作将导致以下消息:
当然,这意味着某人(或一群人,如果需要的话)将必须审核发送到该 DL 的所有消息。在我们的例子中,我们无论如何都需要审核,所以这很符合我们的需求。
(这对我而言在 Exchange 2010 SP3 上有效)
答案4
我知道这已经过时了,但对于任何想找到方法的人来说,有一个注册表项可以添加,它将禁用分发列表的扩展。GPO 是强制组织内所有计算机执行的最佳方法。
Outlook 2007 - HKCU\Software\Microsoft\Office\12.0\Outlook\Options\Mail\DisableDLExpansion=1 Outlook 2010 - HKCU\Software\Microsoft\Office\14.0\Outlook\Options\Mail\DisableDLExpansion=1 Outlook 2013 - HKCU\Software\Microsoft\Office\15.0\Outlook\Options\Mail\DisableDLExpansion=1 Outlook 2016 - HKCU\Software\Microsoft\Office\16.0\Outlook\Options\Mail\DisableDLExpansion=1
键 DisableDLExpansion 是 DWORD(32 位),您将其值设置为 1。