[Примечание: эти потребности являются внешними требованиями клиента и могут / не изменятся. Учтите это при ответе]
У нас есть небольшая перегруженная команда администраторов Windows из 2,5 человек (2 ветеринара, 1 младший). Как I.T. инфраструктурной группе нас попросили реализовать следующее:
БЕЗОПАСНОСТЬ: Если человеку разрешено отправлять на удаленный объект с включенной безопасностью. group, затем:
НИКОГДА НЕ ДОПУСКАЕТСЯ «ОБУЧЕНИЕ ПОЛЬЗОВАТЕЛЯ». Люди, отправляющие эти списки, крайне не технически подкованы, обладают чрезвычайно сильным политическим влиянием в организации и никоим образом не изменят своих привычек. Это означает, что мы не можем предложить им использовать поле "Скрытая:". Это также означает, что мы не можем предложить «Не нажимайте кнопку« + », чтобы расширить группу, иначе вы потеряете безопасность».
Напоминание - вы не можете изменить приведенные выше факты.
Где оценивается этот проект по шкале от 1 до 10, где 1 означает «Тривиально», а 10 - «Фактическая невозможность»? У нас есть менеджер, который щелкает кнутом, не понимая, что требования, изложенные выше, довольно противоречивы. Даже учитывая разумное количество времени, я не думаю, что это можно сделать без существенных неудобств и риска для всей инфраструктуры AD. (Экстремальные разрешения безопасности, чтобы пользователи не могли копаться в объектах.)
Меня не слишком волнуют смелость и технологии. подробности о том, как вы бы это реализовали, но не стесняйтесь делиться ими. Мне более любопытно осуществимость вышеизложенного и сколько времени это займет, ЕСЛИ это вообще выполнимо.
Обдумывая свой ответ, помните о строгих требованиях. Мы трижды подтвердили, что они не могут согнуться, даже одним словом. Например, «Вы можете использовать собственный почтовый клиент». Неправильно. Outlook - необходимый клиент. «Можно было просто спрятать группы». Неправильно. Кто-то в AD может еще покопаться и найти их. И т. Д. И т. Д.
СПАСИБО!!! Я специалист по Unix и активно участвую в этом, потому что я неплохо освоил Powershell и имею около 1000 строк кода, которые помогают создавать и поддерживать эти (тысячи) контактов и групп.
РЕДАКТИРОВАТЬ: Я знаю, что на эту тему есть много хороших ответов, но, пожалуйста, не теряйте своих мыслей. Мне нужно как можно больше боеприпасов, чтобы вернуться в бизнес. Пять человек говорят, что это почти невозможно - это здорово. Десять человек говорят, что это даже лучше. Спасибо всем.
Вот мое предложение. Хотя он не отвечает на ваш вопрос, он дает вам направление, которому следует следовать:
Выполнить это
Неопровержимо опровергнуть его жизнеспособность
Подайте заявку в службу поддержки в службу поддержки Microsoft Exchange Server. Это будет стоить вам менее 300 долларов США и либо поможет вам в этом, либо докажет PHB, что это невозможно.
10.
Скажем, я авторизованный пользователь. Я отправляю электронное письмо суперсекретной группе и копирую кого-то, кто не должен знать об этом (или сообщение пересылается им); «безопасность» побеждена. Этот сценарий практически гарантированно произойдет, когда обучение не разрешено.
Одна ужасно уродливая идея, которую я выброшу, - это написать собственный транспортный агент, чтобы обеспечить соблюдение некоторых безумных правил конфиденциальности, поскольку обычные правила транспорта совсем не достаточно гибкие.
Авторизованный пользователь 1 в коридоре беседует с Авторизованным пользователем 2 об отправке письма суперсекретной группе X. Неавторизованный пользователь 3 подслушивает. Имя группы взломано.
Обработка групп распределения с уровнем чувствительности ядерных секретов в значительной степени обречена на провал. Как мы уже обсуждали в некоторых из ваших предыдущих вопросов, есть несколько способов скрыть группы на стороне Exchange с большим количеством споров, но когда вы пытаетесь обеспечить соблюдение политики полностью с технической стороны, а не с человеческой стороны, все, это не сработает.
Звучит в принципе невозможно. Конкретно ...
Должна быть обеспечена 100000% гарантия, что они НИКОГДА НИКОГДА НИКОГДА НЕ ВОЗМОЖНЫ, могут копать и определять, какие отдельные члены входят в группу, даже если они являются внутренними пользователями AD.
и
Они должны легко определять, кто находится в группе
Не очень хорошо выстраивайтесь. В соответствии с рекомендациями @joequerty я позвоню MS (звучит так, будто вы, вероятно, довольно большой магазин и, вероятно, имеете контракт на поддержку) и посмотрю, что они говорят обо всем этом. У них могут быть суперсекретные хаки, которые они не публикуют для внешнего мира, которые они могут использовать, чтобы это произошло.
По вашей шкале, учитывая ваши требования, я бы поставил этому 9 баллов.
За исключением значительного количества кода, плагины для обмена / просмотра и т. Д. Exchange / Outlook просто не предназначены для удовлетворения ваших потребностей. Есть много ваших требований, которые теоретически возможны, но что ломает меня, так это:
Должна быть гарантирована 100000% гарантия, что они НИКОГДА, НИКАКИМ ВОЗМОЖНЫМ СПОСОБОМ
Выполнение многих из этих вещей было бы в лучшем случае «буровым», так что я никогда не хотел бы поддержать это заявление.
Мы говорим об этом электронном письме - в конце концов, оно небезопасно по конструкции. Вместо этого получите секретный документ / систему связи.
Почему шифрование и управление цифровыми правами фактического содержимого сообщения не входят в требования? Разве это не было бы важнее? ^^
tl; dr: убить его, убить его огнем.
Я бы тоже поставил 9,5. Еще одна безумная идея (также, вероятно, в масштабе 9,5) - развернуть сервер Exchange для каждой группы и заставить их всех работать вместе. Или даже сервер Exchange для каждого из пользователей.
Если учесть миллион обезьян ... ошиблись, разработчиков, это можно сделать.
Одно примечание. Вы должны дать понять бизнесу, что это может быть осуществимо при очень больших затратах (тысячи, десятки или сотни тысяч долларов, в зависимости от того, кто этим занимается). технически. Социальный аспект (точная копия, протечки в коридоре) гарантированно приведет к нарушению некоторых требований.
Изменить: помимо социального аспекта, у вас есть внешние пользователи, у которых может быть <strikethrough> шпионское ПО </strikethrough> приложение для управления контактами, которое будет пропускать имена групп.