Sim, o modelo da MS está muito centrado na confiança delegada. Haverá superusuários e cabe à organização gerenciar quem pode ver o quê, onde. A engenharia de um sistema como o que você está procurando usando o Exchange exigirá algumas práticas de negócios fora do Exchange.
-
As contas de administrador de domínio / empresa não são usadas . Essas contas são divididas apenas para circunstâncias muito específicas e bem registradas. Estes são os usuários de Deus que podem ler e ver tudo.
- Tais ações são realizadas sob a regra de voar com um amigo . Qualquer pessoa que use essas contas só o fará com outra pessoa para assistir.
- Os EventLogs de segurança são rastreados e o uso da conta de administrador é verificado com o uso aprovado . Esta etapa crítica de auditoria ajudará a detectar o uso indevido de credenciais elevadas.
-
Os usuários administradores recebem os direitos de que precisam e não os outros . Isso é difícil, pois o administrador do domínio é tão fácil . Mas os usuários do Admin, como nós, não correm com os direitos de Deus. Durante a configuração, nossas contas recebem os direitos de que precisamos para fazer o que fazemos.
- Às vezes, um desses direitos é: permitido enviar uma solicitação de acesso elevado sob essas circunstâncias específicas .
-
A organização do Exchange está dividida em zonas de confiança com usuários admin locais . O grupo que lida com as comunicações da SEC tem seu próprio Mail Admin, que pode ter direitos estendidos para as caixas de correio de usuários relevantes. Essa pessoa está dentro do limite de confiança para essa organização interna.
- Sim, isso cria muito mais administradores do Exchange. Mas é o que acontece quando a centralização não é uma opção.
Sim, a Microsoft realmente espera que uma organização mantenha os usuários com privilégios elevados em um padrão mais elevado de comportamento. Isso ocorre porque grande parte do nosso trabalho de rotina exige exposição a dados privados. Se essas negociações de aquisição estiverem sujeitas a Retenção Legal, precisamos entrar lá e configurar isso. Se o CEO estiver com problemas para fazer com que o iPhone fale com o Exchange, descobriremos o motivo.
No meu antigo emprego, onde eu era um administrador do Exchange, tivemos que assinar diversos contratos relacionados à política de privacidade, falsificação de identidade e penalidades por não cumprir com o mesmo.