[注:这些需求是来自客户的外部需求,可以/不会改变。 请回答时请记住]
我们有一个小型的2.5人Windowspipe理团队(2名兽医,1名初级)。 作为IT基础设施部门,我们被要求实施以下内容:
安全:如果一个人被允许发送到安全启用的dist。 组,那么:
以任何方式,forms或forms,都是“用户培训”允许的。 发送到这些名单的人是非常不懂技术的,在组织内部在政治上是非常强大的,不会以任何方式改变他们的习惯。 这意味着我们不能build议他们使用“密件抄送”字段。 这也意味着我们不能build议“不要点击”+“button来扩大组或者失去安全。”
提醒 – 你不能改变上面的事实。
在1到10的范围内,1是“微不足道”,10是“事实上不可能”,这个项目在哪里评分? 我们有一个正在鞭打鞭子的经理,并不了解如上所述的要求是相当矛盾的。 即使给了一段合理的时间,我也不认为这样做对AD整体基础设施来说没有很大的不便和风险。 (极其安全的权限,以便用户不能去挖掘对象。)
我不太关心胆量和技术。 如何实现这样的事情的细节,但随时分享。 我更加好奇上述的可行性,以及需要多长时间,如果这是可行的。
当你考虑你的答案时,请记住严格的要求。 我们已经三倍确认他们不能屈服,甚至一个字。 例如,“您可以使用自定义邮件客户端”。 错误。 Outlook是必需的客户端。 “你可以隐藏小组”。 错误。 AD中的某个人仍然可以挖掘并find它们。 等等
谢谢!!! 我是一个Unix人,他的参与度非常高,因为我已经非常适合使用Powershell,并且拥有大约1000行代码来帮助构build和维护这些(数千个)联系人和组。
编辑:我知道这个主题有很多很好的答案,但请保持你的想法来。 我需要尽可能多的弹药回到业务。 五个人说这是不可能的是伟大的。 十个人说这更好。 感谢大家。
这是我的build议。 虽然它不能回答你的问题,但它确实给你一个方向:
做到这一点
无可辩驳地反驳它的可行性
使用Microsoft Exchange Server支持团队打开支持案例。 这将花费你不到300美元,而是要么帮你完成这个任务,要么向PHBcertificate这是不可能的。
10。
说我是授权用户。 我发送一封电子邮件给一个超级秘密组织,抄送一个不知道这个信息的人(或者邮件转发给他们); “安全”击败。 这种情况几乎可以保证在没有培训的情况下发生。
一个可怕的丑陋的想法,我会扔出去写一个自定义的传输代理来执行一些疯狂的机密性规则,因为正常的传输规则不够灵活。
授权用户1与授权用户2进行关于向超级秘密组X发送邮件的走廊对话。未授权用户3无意听到。 组名受到影响。
处理具有核密的敏感程度的分配群体几乎注定要失败。 正如我们在之前的一些问题中所讨论的那样,有一些方法可以隐藏Exchange一侧的群组,并且有很多争议,但是当您试图在技术方面完全执行策略而不是在人所有,这是不会工作的。
在你的规模,给你的要求,我会给这个9。
除了大量的代码,Exchange / Outlook插件等Exchange / Outlook只是没有devise,以满足您的需求。 有很多你的要求在理论上是可能的,但是对我来说是这样的:
它必须是100.000%保证他们从来没有,任何可行的方式
做很多这些事情最好是“装备”,所以我永远不会愿意支持这种说法。
听起来基本上不可能。 特别…
必须保证100.000%,即使他们是内部AD用户,他们也绝不会以任何可行的方式挖掘和确定哪些成员属于一个组。
和
他们必须能够轻易地确定组内的人员
不要很好地调整自己。 正如@joequerty所build议的那样,我会在电话里拿到MS(听起来你可能是一个相当大的商店,可能有一个支持合同),看看他们对这一切的看法。 他们可能有一些超级秘密的黑客,他们可以用来做到这一点,而不是发布到外面的世界。
这是我们正在讨论的电子邮件 – 最后,它的devise是不安全的。 取而代之的是一个秘密文件/通讯系统。
为什么encryption和数字版权pipe理的实际信息内容是要求的一部分? 这不是更重要吗? ^^
tl; dr:杀死它,用火把它杀死。
我也会给它一个9.5。 另一个疯狂的想法(也可能是9.5级)是为每个组部署一个Exchange服务器,并使它们一起工作。 甚至每个用户的Exchange服务器。
假设有一百万个开发者,可以这样做。
一面说明。 您应该向业务部门表明,从技术angular度来看,这可能是以极高的成本(几千甚至几十万美元,这取决于谁在做)。 社会方面(抄袭,走廊泄漏)保证使一些要求失败。
编辑:除了社交方面,你有外部用户可能有<删除线>间谍软件</删除线>联系人pipe理应用程序将泄漏组名称。