none
Подключение Blackberry RRS feed

  • Вопрос

  • Коллеги, обращаюсь к тем у кого есть опыт в данном вопросе.

    Суть:
    Организуем проедоставление услуги Blackberry нашим пользователя Exchange 2003 SP2.
    Настраивается подключение Exchange сервера к Blackberry Enterprise Server (BES).
    Арендуем хостинг сервера BES у партнера сотового оператора, а не приобретаем свой, т.к. в нашем случае это экономически целесообразно, т.к. пока пользовтелей немного.

    Вопрос:
    Подключение BES подразумевает предоставление партнеру-хостеру некоторых полномочий для объектов AD. И права Domain Users и Exchange View Only Administrator и т.д. - у кого есть опыт тот знает.
    Как обезопасить и свести к минимум потенциально возможную осведомленность парнтера-хостера о нашей AD-инфраструктуре?
    Продуктивной видится разве что идея создания для наших пользователей услуги Blackberry отдельного домена.

    Поделитесь, плиз, опытом.

    • Перемещено Tina_Tian 18 марта 2012 г. 8:54 forum merge (От:Exchange Server 2003/2000/5.5)
    3 сентября 2009 г. 9:22

Ответы

  • Приобретение любого hosted сервиса предполагает, что вы доверяете компании-хостеру. В данном случае права exchange view only administrator - это необходимость для работы данной связки, как описано во всех документах blackberry
    Создание отдельного домена тоже не имеет большого смысла, потому что во первых exchange view only administrator - это роль в организации Exchange вне привязки к какому либо конкретному домену, во вторых - лес, а не домен являются security boundary. Ну а наличие отдельного леса (и отдельного Exchange) вместе с затратами на обслуживание такой разрозненной инфраструктуры будут я думаю подороже, чем dedicated BES
    • Помечено в качестве ответа Vinokurov Yuriy 22 сентября 2009 г. 9:34
    3 сентября 2009 г. 9:43

Все ответы

  • Приобретение любого hosted сервиса предполагает, что вы доверяете компании-хостеру. В данном случае права exchange view only administrator - это необходимость для работы данной связки, как описано во всех документах blackberry
    Создание отдельного домена тоже не имеет большого смысла, потому что во первых exchange view only administrator - это роль в организации Exchange вне привязки к какому либо конкретному домену, во вторых - лес, а не домен являются security boundary. Ну а наличие отдельного леса (и отдельного Exchange) вместе с затратами на обслуживание такой разрозненной инфраструктуры будут я думаю подороже, чем dedicated BES
    • Помечено в качестве ответа Vinokurov Yuriy 22 сентября 2009 г. 9:34
    3 сентября 2009 г. 9:43
  • Павел, спасибо большое за ответ.
    Разумеется, понимание тех или иных доступов есть. Их необходимость задокументирована как Blackberry, так и MS и изучена.
    Разумеется, есть и доверие хостеру, закрепленное договорными отношениями и т.д., а также понимание того, что это некий вынужденные компромисс, в отличие от наличия собственного BES.
    Но Вы понимаете, вопросы безопасности не мыслимы без той или иной степени их параноидальности :)
    А предоставление внешнему партнеру даже "домен юзера"  вещь, согласитесь, открывающая большой объем информации о компании, подчеркиваю, потенциальной возможности ее получения.
    Вариант, разве что, ограничивать на уровен сетевых подлючений, ведь кроме Exchange-сервера хостеру подключать никуда и не нужно, разумеется отдельный логический сегмент сети и т.д.
    Что ж, вариант все взвесить и сделать выбор ясен :)

    3 сентября 2009 г. 10:33