Zugriff auf öffentliches Adressbuch verhindern

[Dukel 454]

Den Teil mit den Personen kannst du weglassen und es wird dann die Allgemeine GAL / Policy genutzt. Hier würden die Mitarbeiter auch die Freelancer sehen. Bei mir war das nicht der Fall. Hier sollten die Gäste nicht gesehen werden.

 

Statt

New-AddressList -Name Personen01_Personen -DisplayName "Alle Personen" -RecipientFilter {((RecipientTypeDetails -eq 'UserMailbox') -and (ExtensionCustomAttribute1 -eq 'P01'))}

nutzt du

New-AddressList -Name Personen01_Personen -DisplayName "Alle Personen" -RecipientContainer "domain.de/Mitarbeiter"

Das geht aber nur für die Mitarbeiter und nicht für die Freelancer, sonst würde alle Freelancer sich untereinander sehen. Aber für die Mitarbeiter würde ich in deinem Fall das eher weglassen.

[NilsK 2.937]

Moin,

 

nur mal so als Zwischenruf: Es kann durchaus sein, dass man im Zuge des Designs feststellt, dass Exchange nicht das richtige System dafür ist.

 

Gruß, Nils

 

[NorbertFe 2.035]

Ich hab das jetzt nicht komplett verfolgt, aber im Endeffekt sind das also zwei (oder mehr ) GALs, oder? ;)

[Bubblegum 0]

@Dukel Bevor ich durcheinander komme - fakt ist, es werden aufjedenfall zwei GAL / OABs benötigt. In meinem Fall ist die allgemeine GAL / OAB schon vorhanden für die normalen Benutzer.

 

Für die Freelancer wird entsprechend eine neue GAL und OAB generiert. Die Freelancer Accounts sind alle in einer eigenen OU.

 

In deinem Beispiel einige Beiträge vorher, war der Fall so, dass beide verschiedene extension Attribute haben und einfach bei Anlage der Freelancer Accounts dieses Attribut weglassen wird in den Accountattribute, so dass einfach das Adressbuch nicht erscheint und nur die Poliy zugewiesen wird.

 

Wie geschieht das bei der OU Lösung?

 

Also im Grunde mit dem gleichen Ergebnis.

bearbeitet 18. Oktober 2018 von Bubblegum

[Dukel 454]

Für die Freelancer kannst du nicht die OU für die Adresslisten nutzen!

Hier erstellst du die Policys / Listen mit dem Extended Attribute aber füllst dieses bei keinem (!) Nutzer (weder Mitarbeiter noch Freelancer).

Das einzige was du machen musst ist die Extra Policy den Freelancern zuweisen.

[Bubblegum 0]

@Dukel Das heißt, meine bestehende allgemeine GAL / OAB für die bestehenden Mitarbeiter fasse ich nicht an (also ich ändere da auch nix mit Attributen oder dergleichen).

 

Danach erstelle ich die Policys und Listen für die Freelancer mit dem Extended Attribute und fülle es bei keinem Nutzer aus.

 

Und zum Schluss wird diese Policy einfach zugewiesen?

 

Hab ich damit dann den Effekt:

 

- Die Mitarbeiter sehen nicht das Freelanceradressbuch

- Die Freelancer sehen nicht das Mitarbeiteradressbuch

- Die Freelancer sehen nicht ihr eigenes Adressbuch (also das Freelanceradressbuch)

 

Hätte man damit alle Anforderungen abgedeckt?

[Dukel 454]

Ja korrekt, außer der erste Punkt. Die Mitarbeiter sehen alle Freelancer im normalen Adressbuch. Wenn du das nicht haben willst musst du eine weitere GAL/Policy für die Mitarbeiter erstellen (gefiltert auf die OU der Mitarbeiter).

[Bubblegum 0]

@Dukel Käme dann die normale / Standard GAL nicht mehr im Einsatz oder wäre die weitere einfach nur als Filtering zuständig?

[Dukel 454]

Diese käme nicht mehr in den Einsatz sollte aber nicht gelöscht werden.

[Bubblegum 0]

Was mir gerade noch in den Sinn kommt: Falls man "HidefromAdresslist" definiert, würde man in dem Zuge nicht schon den Fall abdecken, dass für die Mitarbeiter die Freelancer nicht einsehbar wären?

[Dukel 454]

Dann müsstest du alle Mitarbeiter und Freelancer hidden setzen und die Mitarbeiter wären untereinander unsichtbar.

 

Teste das doch einfach mit einer Hand voll Testuser.

[Bubblegum 0]

@Dukel Bei deiner Vorgehensweise:

 

#AddressLists
New-AddressList -Name Gaeste01_Mailverteiler -DisplayName "Alle Mailverteiler" -RecipientFilter {((((RecipientTypeDetails -eq 'MailUniversalSecurityGroup') -or (RecipientTypeDetails -eq 'MailUniversalDistributionGroup'))) -and (ExtensionCustomAttribute1 -eq 'G01'))}
New-AddressList -Name Gaeste01_Kontakte -DisplayName "Alle Kontakte" -RecipientFilter {((RecipientTypeDetails -eq 'MailContact') -and (ExtensionCustomAttribute1 -eq 'G01'))}
New-AddressList -Name Gaeste01_Personen -DisplayName "Alle Personen" -RecipientFilter {((RecipientTypeDetails -eq 'UserMailbox') -and (ExtensionCustomAttribute1 -eq 'G01'))}
#RoomList
New-AddressList -Name Gaeste01_Raeume -DisplayName "Alle Räume" -RecipientFilter {((RecipientTypeDetails -eq 'RoomMailbox') -and (ExtensionCustomAttribute1 -eq 'G01'))}
#GlobalAddressList
New-GlobalAddressList -Name Gaeste01 -RecipientFilter {ExtensionCustomAttribute1 -eq 'G01'}
#OfflineAddressBook
New-OfflineAddressBook -Name OAB_Gaeste01 -AddressLists Gaeste01
#Name
New-AddressBookPolicy -Name ABP_Gaeste01 -GlobalAddressList Gaeste01 -OfflineAddressBook OAB_Gaeste01 -RoomList Gaeste01_Raeume -AddressLists Gaeste01_Mailverteiler,Gaeste01_Kontakte,Gaeste01_Personen 

 

kann man da die Adresslisten nicht auch leer lassen in meinem Fall, ohne das da überhaupt Kontakte hinterlegt werden?

[Dukel 454]

Werden ja auch nicht. Dadurch das man den Freelancern das Attribut NICHT gibt kommen keine Einträge in das Adressbuch. Dieses muss aber existieren.

[Bubblegum 0]

@Dukel Hab ich schon verstanden. Meinte den Inhalt der Adresslisten selbst, weil oben definierst du ja glaub ich DistributionGroups, Securitygroups, Usermailboxen als auch Kontakte, dass der Inhalt in die Adresslist reinkommen.

 

Das kein matching stattfindet, wegen dem "UND" mit dem Extentend Attribut hab ich verstanden. Aber wenn ich deine Antwort herauslese, kannst du nicht einfach eine leere "Adresslist" herstellen?

[gelöscht 0]

vor 2 Stunden schrieb NilsK:

nur mal so als Zwischenruf: Es kann durchaus sein, dass man im Zuge des Designs feststellt, dass Exchange nicht das richtige System dafür ist.

Auch nur mal: per Default kann auch jeder authentifizierte User all diese Attribute per LDAP auslesen, auch "externe". Was immer ihr da für geheime Daten habt, vielleicht habt grundsätzlich einen falschen Ansatz mit den "Externen".

 

ASR