Maraun 12 Geschrieben 3. Februar 2017 Melden Teilen Geschrieben 3. Februar 2017 Hallo zusammen, wir nutzen eine Exchange 2010 Farm, die noch per ActiveSync per TMG Devices angebunden hat. Mit einem MDM System soll die Anbindung jetzt geändert werden und das TMG für ActiveSync deaktiviert werden. Unsere weltweiten Devices sind so gut wie ausgerollt, daher meine Fragen:Beende ich einfach auf dem TMG die Publishing-Regel für ActiveSync und damit ist ActiveSync nicht mehr möglich? Was, wenn ich einzelnen Devices noch den Zugriff per Active Sync geben möchte? Kann ich auf dem TMG Ausnahmeregeln bauen?Per Exchange 2010 gibt es ja die Allow/Block/Quarantine Liste, aber unser TMG ist ja nach außen präsentiert, daher möchte ich am liebsten allen unerwünschten Geräten Active Sync sperren und einer bestimmten Gruppe den Zugriff noch vorübergehend erlauben. Viele Grüße Hi,Thema is gelöst. In der jeweiligen Regel gibt es ja User. Die Active Regel hat "All authenticated Users" drin.Einfach die ActiveSync Standardregel genommen, kopiert, eingefügt und abgeändert:All Authenticated Users raus, neue Gruppe mit den Usern, die temporär noch Zugriff haben sollen.Die ursprüngliche Standardregel mit allen Usern auf Deny gestellt und die neue Regel mit den temporären Usernauf Allow stellen. Muss nur noch testen, welche Regel als erstes verarbeitet werden muss -> Deny/Allow oder Allow/Deny. Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 3. Februar 2017 Melden Teilen Geschrieben 3. Februar 2017 Die regel die zuerst kommt. Du kannst nix verbieten was vorher erlabt war und andersrum. Zitieren Link zu diesem Kommentar
Maraun 12 Geschrieben 3. Februar 2017 Autor Melden Teilen Geschrieben 3. Februar 2017 Also ich habe es für den test so gemacht:Regel kopiert und eingefügt, an erste Stelle.Regel auf Deny abgeändert, all authenticated Users durch den Benutzer ersetzt, dem ich explizit den Zugriff verbieten will und apply. Das heisst, erst dem User verboten, als zweite Regel allen (anderen) erlaubt.In unserem Fall ist es ja so, dass ich bald allen den Zugriff verbieten will.Bedeutet das dann: Erst explizit bestimmten Benutzer den Zugriff erlauben und als zweite Regel dann Deny All?Oder geht das dann so gar nicht, wie angedacht? Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 3. Februar 2017 Melden Teilen Geschrieben 3. Februar 2017 Wenn du es dieser Gruppe verbietest, kann das hinterher nicht über eine andere Regel für diesen User oder diese Gruppe erlaubt werden. Andersrum genauso. Zitieren Link zu diesem Kommentar
Maraun 12 Geschrieben 3. Februar 2017 Autor Melden Teilen Geschrieben 3. Februar 2017 Aber im TMG hat das heute Morgen als Test geklappt.Einem User das recht in einer Regel genommen.In der Regel darunter allen ActiveSync erlaubt. Bei ihm hat ActiveSync nicht mehr funktioniert.Wie sollte ich das denn sonst per TMG lösen?Also einigen Benutzer noch Zugriff erlauben, obwohl der generelle Zugriff nicht mehr erlaubt ist? Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 3. Februar 2017 Melden Teilen Geschrieben 3. Februar 2017 GEnau das sag ich doch die ganze Zeit. Du kannst ihm, wenn er es oben verboten bekommt, unten nicht mehr erlauben. QED. Genauso ginge es andersrum nicht, wenn du es ihm oben explizit erlaubst, kannst du unten nicht mehr allen verbieten, dann käme er immer noch dran. First Match nennt man das afaik. ;) Zitieren Link zu diesem Kommentar
Maraun 12 Geschrieben 3. Februar 2017 Autor Melden Teilen Geschrieben 3. Februar 2017 Aha alles klaro. Jetzt hab ich es begriffen, danke Dir. Jetzt weiß auch ich, wie ich die regeln anordnen muss. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.