[Nota: Estas necessidades são demandas externas do cliente e podem / não serão alteradas. Por favor, tenha isso em mente ao responder]
Temos uma pequena equipe de administração do Windows de 2.5 homens sobrecarregados (2 veterinários, 1 júnior). Como um I.T. grupo de infra-estrutura, fomos solicitados a implementar o seguinte:
- Precisamos configurar listas de endereçamento (dist. grupos) para uso no Outlook.
- Todas as listas de discussão incluirão usuários internos do AD e contatos de email externos
- Para todos os dist. grupos, Reply-All para usuários internos e contatos externos
deve sempre falhar, sem exceções. (Um salto é aceitável)
- SEGURANÇA: Se uma pessoa não puder enviar para um grupo de distribuição, então:
- Deve ter 100.000% de garantia de que NUNCA, DE QUALQUER MANEIRA CONCEPIDA, é permitido descobrir a existência do grupo, mesmo que seja um usuário interno do AD.
- Deve ser 100.000% garantido de que NUNCA, DE QUALQUER MANEIRA CONCEPIVEL, seja capaz de descobrir e determinar quais membros individuais estão em um grupo, mesmo que sejam usuários internos do AD.
-
SEGURANÇA: Se uma pessoa tiver permissão para enviar para uma dist. grupo, então:
- Eles devem poder ver esse grupo em um bloco de endereços específico (já fizemos isso)
- Eles devem ser capazes de determinar facilmente quem está no grupo
-
EM NENHUMA FORMA, FORMA OU FORMA, É "TREINAMENTO DE USUÁRIO" PERMITIDO. As pessoas que enviam para essas listas são extremamente não-tech-savvy, extremamente poderoso dentro da organização politicamente, e não vão mudar seus hábitos de forma alguma. Isso significa que não podemos sugerir que eles usem o campo "Bcc:". Isso também significa que não podemos sugerir "Não clique no botão '+' para expandir o grupo ou perder a segurança".
Lembrete - você não pode alterar os fatos acima.
Em uma escala de 1 a 10, com 1 sendo 'trivial' e 10 sendo 'uma impossibilidade factual', onde este projeto é avaliado? Nós temos um gerente que está quebrando o chicote, sem entender que os requisitos, como dito acima, são bastante conflitantes.
Mesmo com uma quantidade razoável de tempo, não creio que isso possa ser feito sem inconvenientes e riscos substanciais para a infraestrutura geral do AD. (Permissões extremas de segurança para que os usuários não consigam cavar objetos.)
Eu não estou tão preocupado com a coragem e tecnologia. detalhes de como você implementaria tal coisa, mas sinta-se à vontade para compartilhá-los. Estou mais curioso quanto à viabilidade do que foi dito acima e quanto tempo levaria, se é viável.
Ao considerar sua resposta, tenha em mente os requisitos rigorosos. Nós confirmamos três vezes que eles não podem dobrar, nem mesmo uma palavra. Por exemplo, "Você poderia usar um cliente de email personalizado". Errado. O Outlook é o cliente obrigatório. "Você poderia apenas esconder os grupos". Errado. Alguém no AD ainda pode cavar e encontrá-los. Etc etc.
OBRIGADO !!! Eu sou um cara do Unix que está strongmente envolvido porque eu tenho um bom conhecimento com o Powershell e tenho cerca de 1.000 linhas de código para ajudar a construir e manter esses (milhares de) contatos e grupos.
EDIT: Eu sei que há muitas boas respostas sobre este tópico, mas por favor, mantenha seus pensamentos próximos. Eu preciso da maior munição possível para levar de volta ao negócio. Cinco pessoas dizendo que isso é quase impossível é ótimo. Dez pessoas dizendo que é ainda melhor. Obrigado a todos.