Я работаю в университете, где у нас есть сотрудники, которые также могут преподавать в качестве дополнительных преподавателей. Мы создаем учетную запись для человека на основе его имени, чтобы Джо Смит получил smithj@domain.edu. и они сами должны отсортировать свою почту по содержанию персонала по сравнению с дополнительным содержанием.
Отдел кадров хочет, чтобы у этих сотрудников было 2 аккаунта, один для работы с персоналом, а другой для вспомогательной работы, чтобы они были полностью разделены. Одна из причин заключается в том, что, если роль персонала прекращается по какой-либо причине, они не должны иметь доступа к своему персоналу, но могут продолжать выполнять свою роль помощника. Используя предыдущий пример «Джо Смит», они сохранят свою учетную запись smithj@domain.edu для работы персонала и получат следующую итерацию нашей схемы именования в качестве дополнительного smithjo@domain.edu для своей дополнительной учетной записи.
Я не хочу этого делать по ряду причин:
Мы подумали о некоторых вариантах:
Кто-нибудь еще сталкивался с подобной ситуацией, и если да, то как вы с ней справились?
Я не вижу ничего плохого в плане HR. Для меня имеет смысл разделить электронные письма по ролям. Если дополнительная стоимость лицензирования будет одобрена, я буду согласен с этим.
У вас есть точка зрения о том, что пользователь получает доступ к электронной почте, отправленной одной роли из другой роли, но я думаю, что суть в том, чтобы предпринять соответствующие шаги, чтобы роли были отличными и уникальными, а не закрывать все возможные лазейки. Если бы это было так, у вас было бы намного больше работы, и не только в отношении электронной почты.
Я согласен с вашим пунктом №4 - попытки ограничить доступ людей к электронной почте постфактум - бесполезное занятие.
Настройка адресов электронной почты, которые являются как личными (которые у вас есть с вашими адресами smithj @), так и ролевыми, кажутся логистическим кошмаром: вам понадобятся такие вещи, как: alex_smith_adjucnt_prof@domain.edu и alex_smith_research_assist @ domain. эду? А как насчет людей, которые получают повышение или иным образом меняют свои роли: alex_smith_assistant_prof@domain.edu получает срок полномочий и должен перейти на alex_smith_prof@domain.edu?
Если отдельные электронные письма должны быть разделены, вы не сможете обрабатывать все электронные письма в одной учетной записи пользователя в почтовом магазине Zimbra. Вы можете фильтровать их для пересылки в определенные папки, но для полного разделения вам потребуются разные учетные записи.
Практически автоматическое решение для разделения писем на разные аккаунты было бы в использовании recipient_delimiter вариант в Zimbra's Postfix или виртуальный транспортный стол с REGEX.
Затем вы могли бы настроить второй imapd, например dovecot, и пересылать определенные письма этому демону через LMTP. В качестве механизма аутентификации вы можете использовать службу LDAP Zimbra, поэтому у вас нет необходимости периодически выполнять дополнительную работу с учетными записями пользователей на втором imapd. В таком решении dovecot необходимо будет обслуживать через нестандартные порты, чтобы работать параллельно с Zimbra. С таким решением у вас не будет дополнительных затрат на лицензию, а у пользователей будет две учетных записи.
Другая идея - перенаправить электронные письма от всех пользователей с определенной целью в одну учетную запись Zimbra, отфильтровать их по разным пользовательским папкам и предоставить им доступ к этой папке через подписку в их собственных учетных записях. Это также должно выполняться автоматически, по крайней мере, с помощью задания cron. С помощью этого решения исходящие электронные письма могут быть отфильтрованы и перенаправлены в эти конкретные папки.
Затем пользователям нужно просто решить, какой идентификатор они будут использовать для исходящих писем: jsmith+role1@domain.tld или jsmith+role2@domain.tld.