Недавно я перенес клиент на Exchange 2010 с Postfix / Dovecot. При старой настройке пользователю BlackBerry необходимо было ввести свое имя пользователя / пароль, который затем будет «известен» третьей стороне (например, BlackBerry). Мне это всегда было неудобно, но, по крайней мере, если пароль попадет в чужие руки, у них будет доступ только к одной учетной записи электронной почты и никаких других ресурсов.
Теперь у пользователя, имеющего доступ к нашему шлюзу RDS, также есть BlackBerry, для которого требуется, чтобы его имя пользователя и пароль домена были переданы третьим лицам. Это заставляет меня чувствовать себя более неудобно, чем раньше.
Какой самый простой способ обойти это? В идеале я бы хотел, чтобы у пользователей был второй пароль, который работает только для IMAP.
Безопасный, «правильный» способ сделать это - развернуть BES, но это большие деньги для одного сотрудника.
И, конечно же, есть нетехническое исправление - забанить Blackberry и изменить ее на что-то, что поддерживает ActiveSync. Опять же, это может быть сложно продать клиенту.
Так что вам, вероятно, придется прибегнуть к какой-нибудь уродливой хитрости. Есть один, который я использовал еще во времена Exchange 2003, до того, как мне удалось запретить IMAP и POP; никаких гарантий, что он по-прежнему работает, но основной трюк, от которого он зависит, является частью протокола IMAP, так что попробовать стоит.
Во-первых, создайте для нее вторую учетную запись домена и дайте ей полный доступ к ее электронной почте, но не более того. Затем попросите ее настроить свой Blackberry для использования имени входа IMAP домена / имени пользователя / имени почтового ящика, где «имя пользователя» - это «поддельные» учетные данные, а «имя почтового ящика» - «настоящее».
например если ее текущее имя пользователя CONTOSO/sjsmith, и созданная вами новая ограниченная учетная запись CONTOSO/sjsbb, затем она входит в IMAP с именем пользователя CONTOSO/sjsbb/sjsmith и пароль от учетной записи sjsbb.
Ваш шлюз RDS должен разрешать доступ только определенным пользователям / группам, а не всем пользователям домена.
Если вы следовали инструкциям, подобным этой (http://technet.microsoft.com/en-us/library/dd983949(v=ws.10) , возможно, вы авторизовали группу пользователей домена. Вы хотите создать новую группу в AD для пользователей RDS, предоставить доступ RDS только этой группе и поместить в эту группу только пользователей, которым требуется доступ.
Вы можете дополнительно заблокировать пользователя, работающего только с электронной почтой, создав подразделение AD и указав ограничения групповой политики.
Для лучшего управления и функциональности Blackberry Blackberry Express Server предоставляется бесплатно и поддерживается для работы непосредственно на сервере Exchange 2010 в небольших развертываниях. http://us.blackberry.com/business/software/besx.html