Evita a “expansão de cliques” do usuário do grupo de distribuição do Exchange?

5

Eu sou um cara do Unix que recentemente adquiriu o powershell para ajudar meus colegas de trabalho administrativos do Exchange a implementarem um projeto desafiador no Exchange 2010. (Os requisitos que recebemos são desafiadores, se não impossíveis de cumprir.)

Vou tentar manter isso simples. Aqui está a minha primeira pergunta.

Recebemos a exigência de que determinados DLs sejam restritos, de modo que apenas determinados usuários internos do AD possam enviar para o DL. Além disso, essas DLs devem permanecer visíveis no catálogo de endereços. Definir a propriedade 'HiddenFromAddressBookEnabled' como $ true é inaceitável. Liderança afirmou que "As únicas pessoas que devem ter permissão para ver quem está no grupo são as pessoas que podem enviar para o grupo. Além disso, as únicas pessoas que devem ser capazes de ver as entradas de DL no catálogo de endereços são as pessoas que estão autorizados a enviar para o DL ". Eu não acho que isso seja possível, porque:

  • Posso contornar as restrições de segurança do remetente acessando a entrada (visível) no catálogo de endereços, colocando-a no campo Para: e, em seguida, clicando em '+' no Outlook para expandi-la para pessoas individuais, que ignora a segurança do grupo. (Eu confirmei isso.)
  • Não acredito que seja possível ocultar seletivamente as entradas do catálogo de endereços apenas de determinados usuários, mas não de outros.

Então, aqui estão minhas perguntas:

  • Meu entendimento parece mais correto? Se não, sinta-se à vontade para oferecer correções
  • Existe alguma maneira de ocultar os DLs nos blocos de endereços de apenas um conjunto específico de usuários?
  • Existe uma maneira de impedir que os usuários cliquem no sinal "+" no Outlook para contornar as restrições de segurança que limitam quem pode enviar para um grupo? Tecnicamente, você não está mais enviando para um grupo - apenas o conjunto exato de pessoas que estão nesse grupo.

Por favor - qualquer esclarecimento adicional ou comentários encorajados. Acho que temos que voltar ao negócio e dizer que suas necessidades não são alcançáveis. (E eu tenho outros dois requisitos desagradáveis para os quais vou começar perguntas separadas).

Obrigado a todos!

    
por Larold 13.09.2011 / 23:49

4 respostas

9

Sua compreensão está morta. Você poderia manter um número de listas de endereços padrão diferentes com base no nível de acesso de um usuário (permitindo que eles tenham um determinado grupo em sua lista, se forem autorizados), mas isso é incrivelmente feio e quase impossível de manter.

Uma maneira de se livrar da capacidade de expansão seria usar grupos dinâmicos de distribuição - eles se expandem com base em uma consulta durante o transporte e, portanto, não podem ser expandidos no Outlook.

Isso impede o acesso aos curiosos, mas não aos determinados / informados - lembre-se de que, sem algumas alterações desagradáveis de permissões, muitos atributos do usuário e do grupo em questão podem ser lidos por qualquer usuário do domínio com as ferramentas e os conhecimentos necessários visualizá-los.

    
por 14.09.2011 / 00:09
3

Se você for ADUC e clicar com o botão direito do mouse, propriedades, editor de atributos, hideDLMembership (definir como true), eles poderão ver o grupo, mas não poderão expandir seus membros.

    
por 23.05.2014 / 19:00
2

Se você ativar a moderação na lista de distribuição, os usuários não ser capaz de clicar no sinal "+" para expandir o grupo. A tentativa de fazer isso no Outlook resultará na seguinte mensagem:

Naturalmente, isso significa que alguém (ou um grupo de pessoas, se desejado) terá que moderar todas as mensagens enviadas para essa DL. No nosso caso, queríamos moderação de qualquer maneira, então isso funcionou bem para as nossas necessidades.

(Isso funcionou para mim no Exchange 2010 SP3)

    
por 15.04.2015 / 23:39
1

Eu sei que isso é antigo, mas para qualquer um que esteja procurando uma maneira de fazer isso, existe uma chave de registro que você pode adicionar que desabilitará as expansões de uma lista de distribuição. Um GPO é o melhor meio para aplicar a todos os computadores da sua organização.

Outlook 2007 - HKCU \ Software \ Microsoft \ Office \ 12.0 \ Outlook \ Opções \ Mail \ DisableDLExpansion = 1 Outlook 2010 - HKCU \ Software \ Microsoft \ Office \ 14.0 \ Outlook \ Opções \ Mail \ DisableDLExpansion = 1 Outlook 2013 - HKCU \ Software \ Microsoft \ Office \ 15.0 \ Outlook \ Opções \ Mail \ DisableDLExpansion = 1 Outlook 2016 - HKCU \ Software \ Microsoft \ Office \ 16.0 \ Outlook \ Opções \ Mail \ DisableDLExpansion = 1

A chave DisableDLExpansion é DWORD (32 bits) e você define o valor como 1.

    
por 15.03.2017 / 13:44