none
Permissions group в коннекторах RRS feed

  • Вопрос

  • Доброго времени. На exchange server в коннекторах получения есть Permissions group. Я так понял если я включаю Anonymous users то серверу exchnage без разницы, что стоит выше, то есть почта будет приниматься от любого. 1 Это верно? (что стоит выше) 2. Отличаются ли чем то Exchange users от Partners? Если я создам коннектор слушать почту из внутренней сети от МФУ и поставлю Exchange users, будет ли какая-то разница если я выберу Partners вместо Exchange users? МФУ - это партнёр или Exchage users тогда, как правильно?


    • Изменено ole-van-de 5 декабря 2019 г. 9:30
    5 декабря 2019 г. 9:29

Ответы

  • Ну, прежде всего, можете посмотреть документацию - там всё написано.

    Если своими словами, то Permission Groups - это предопределенный набор разрешений для конкретного участника(ов) безопасности (security principal) на объект соединителя в AD. В принципе, разрешения можно давать (и отнимать) и напрямую (командами Add-ADPermission/Remove-ADPermission, или вообще в ADSIEdit).

    Участником безопасности может быть не только пользователь, группа, системный встроенный участник (например - Anonymous logon), но и участник, определяемый Exchange - у таких SID начинается  с S1-9. Участник безопасности определяется использованным механизмом аутентификации:

    • Exchange users (пользователи вместе с их группами, в частности - "Прошедшие проверку", для которой, собственно, назначены разрешения) - использованием команды аутентификации протокола SMTP;
    • Exchange Servers - использованием специфичной для Exchange аутентификации Anonymous TLS (плюс Kerberos для внутренних серверов);
    • Externanally Secured Servers - подключением без аутентификации через коннектор, для которого определен механизм аутентификации Externally Secured (он, вместе с Exchange Servers это - два разных участника безопасности, определяемых Exchange, которые входят в одну Permission Group - Exchange Servers);
    • Partner - использованием взаимного TLS в рамках Domain Security;
    • Anonymous User - без аутентификации.

    Разрешения определяют, от каких отправителей и для каких получателе будет приниматься почта, какие заголовки сообщения будут удалены и будет ли письмо подвергаться проверке на спам и допустимость размера.

    Из написанного выше очевидны ответы на ваши вопросы:

    1. Серверу Exchange не без разницы, было ли подключение к одному и тому же коннектору анонимным или нет - он будет, в зависимости это этого применять разные правила (разрешения), какие именно - см. ссылку в начале;
    2. Exchange Users и Partners суть разные участники безопасности, и разрешения для них по умолчанию тоже разные;
    3. МФУ не может быть Partner (он в Domain Security не умеет), а, в зависимости от настроек его и принимающего коннектора, он может быть Anonymous User, Exchange User или Externally Secured Server.


    Слава России!


    5 декабря 2019 г. 13:11