Есть ли у кого-нибудь рекомендации, что делать по-другому, или контрольный список при настройке почтового ящика Exchange 2003 для внешних консультантов? Я полагаю, мне все еще нужно создать пользователя AD?
Потребуется только веб-почта.
Все почтовые ящики в Exchange требуют создания учетной записи пользователя Active Directory, поскольку почтовый ящик фактически является свойством учетной записи пользователя AD.
Если вас беспокоит ограничение использования этих учетных записей для предотвращения доступа к общим файловым ресурсам на серверных компьютерах, перед вами может стоять большая задача. Если вы использовали много «аутентифицированных пользователей» в разрешениях, вы можете пожалеть об этом.
Вы можете немного ограничить полезность этих учетных записей, поместив пользователей в группу «Гости домена», установив ее в качестве их основной группы и удалив их членство в группе «Пользователи домена». Это приведет к тому, что они не будут членами «Пользователи» на рядовых компьютерах в домене и, в зависимости от того, как вы выполнили свои разрешения для общих папок, могут также ограничить их доступ к общим папкам.
Вы можете создать группу «Пользователи-консультанты» и применять разрешения «Запретить» к ресурсам с этой группой, но это беспорядочно. (Обычно использование разрешений «Запретить» является плохим тоном, если только вы не можете выполнить то, что ищете, с неявными возможностями отказа базовой модели безопасности.)
Собираются ли эти консультанты подключаться к компьютерам вашей компании внутри домена? Если так, то Эван прав.
Другой вариант - если они собираются вводить свои собственные компьютеры и подключаться к вашей сети или подключаться к веб-почте через Интернет, вы можете настроить групповую политику, чтобы запретить локальный вход в OU, в котором вы установили консультантов.