none
Управление web доступом! RRS feed

  • Вопрос

  • Есть домен с поддоменами всем на уровне пользователей разрешён веб доступ и доступ по имапу!! Знаю что можно создать политику чтоб этот доступ закрыть всем, и открыть только отдельным личностям, но как конкретно? И второй вопрос, как можно мониторить кто пользовался этим доступом?
    • Перемещено Tina_Tian 19 марта 2012 г. 1:54 forum merge (От:Exchange Server 2003/2000/5.5)

Ответы

  • Создавать политики можно, но управляют они только политикой назначения SMTP-адресов и сроками хранения сообщений в мэлбоксах. По поводу щелкания по OU: а кто мешает сделать запрос по mail-enabled users? И у всех одновременно изменить аттрибуты...

    • Помечено в качестве ответа Vinokurov Yuriy 23 июля 2009 г. 8:38
    Модератор
  • Есть у пользователя атрибут protocolSettings

     

    protocolSettings: HTTP§1§1§§§§§§  - влк
     
    protocolSettings: HTTP§0§1§§§§§§  - откл.

     

    • Помечено в качестве ответа Vinokurov Yuriy 23 июля 2009 г. 8:38

Все ответы

  • А топология Exchange предприятия какая?

    Модератор
  • Вы имеете ввиду Outlook Web Access (OWA)? Тогда вам политика не поможет. Нет такой политики. Все гораздо проще. Просто выберите ВСЕХ пользователей в ADUC (Active Directory Users and Computers) и отредактируйте их свойства.

     

    А по поводу мониторинга это логи IIS+LogParser

    Модератор
  • Имею сомнения увидим ли коннекты по IMAP в логах IIS...

    Модератор
  • Топология простая)) Один сервер эксчендж, на котором заведены все ящики как основного домена так и поддоменов.
    У все ящики в одном почтовом домене(mail@domen.ru).
    Открывать оснастку и щёлкать по всем OU во всех доменах?? Думаю есть более красивые решения! Я слышал в эксчендже можно создавать политики и распространять их на определённые группы, по типу груповой политики в ад!
  • Создавать политики можно, но управляют они только политикой назначения SMTP-адресов и сроками хранения сообщений в мэлбоксах. По поводу щелкания по OU: а кто мешает сделать запрос по mail-enabled users? И у всех одновременно изменить аттрибуты...

    • Помечено в качестве ответа Vinokurov Yuriy 23 июля 2009 г. 8:38
    Модератор
  •  Oleg Krylov написано:

    Имею сомнения увидим ли коннекты по IMAP в логах IIS...

     

    на то event логи предназначены - а для записи в оные : уровень диагностики повысить

  • Самое красивое и единственное (кроме ADUC) решение только скриптом.

  • Ну вообщем скрипт тут не обязателен действительно я чё-то тупанул и не подумал чтоб сделать запрос по всем и дружно поменять Exchange Features! Тогда встаёт вопрос как сделать так чтоб у вновь созданных пользователей веб доступ скажем был запрещён, админ я явно не один и за каждым не уследишь? И вот как бы ещё научиться делать запросик по всем у кого скажем открыт веб доступ?
  • По первому вопросу навскидку приходит мысль создавать их из шаблона. Создайте отключенную mail-enabled учетную запись. Настройте ее по вкусу, и пользуясь ей как шаблоном, создавайте. По второму вопросу позже посмотрю Навскидку опять же, посмотрите в схеме какие аттрибуты есть? И какие значения принимают. И потом запрос по Custom аттрибуту и делайте запрос. Ну это только гипотеза пока...

    Модератор
  • Есть у пользователя атрибут protocolSettings

     

    protocolSettings: HTTP§1§1§§§§§§  - влк
     
    protocolSettings: HTTP§0§1§§§§§§  - откл.

     

    • Помечено в качестве ответа Vinokurov Yuriy 23 июля 2009 г. 8:38
  •  Sergey Krylov написано:

    Есть у пользователя атрибут protocolSettings

     

    protocolSettings: HTTP§1§1§§§§§§  - влк
     
    protocolSettings: HTTP§0§1§§§§§§  - откл.

     

    Упс! Мы бы с Вами, Le0n до утра их искали наверное

    Вот как бы знаю, что копать, но вот куда копать
    Модератор
  •  Oleg Krylov написано:
     

    Вот как бы знаю, что копать, но вот куда копать

     

    А вопрос то в чем ?

  • Была мысль найти аттрибуты, определяющие возможность пользователя получать доступ к OWA. И по этим аттрибутам делать custom запросы, чтобы определить, кто в настоящий момент имеет доступ к OWA. Вот примерно так. Кстати, такой подход вообще целесообразен?

    Модератор
  •  Oleg Krylov написано:

     Кстати, такой подход вообще целесообразен?

     

    Если требуется - то да

  • Господа, поделитесь названием атрибута, плиз.

     

    Модератор
  • Так ведь вместе с его названием (protocolSettings) были приведены два значения

     

  • Да действительно есть такой атрибут, только есть одна проблема  по-умолчанию он пустой, если запертить и снова разрешить то он снова заполняется!! Подскажите как бы составить запрос чтоб он показал тех пользователей у которых этот атрибут пустой!

    (&(objectCategory=user)(protocolSettings=*))


    такой запрос мне вывел только пользователей у которых я менял свойства...
  •  

    (&(objectCategory=user)(protocolSettings)(!description=*))
    Модератор
  • (&(objectCategory=user)(!protocolSettings=HTTP§0§1§§§§§§))
     я сделал так
    по идее показывает всех у кого включён!

    Вопрос в догонку а можно ли чтоб запрос выполнялся и по поддоменам тоже?
  • Можно. Пара условий: запрос от имени Enterprise Admin и Корень запроса - Ваш лес.

    Модератор
  •  Le0n написано:
    (&(objectCategory=user)(!protocolSettings=HTTP§0§1§§§§§§))
     я сделал так
    по идее показывает всех у кого включён!

     

    Уберете восклицательный знак (!) перед protocolSettings - покажет тех, у кого выключен

    Модератор
  •  Oleg Krylov написано:

     

    (&(objectCategory=user)(protocolSettings)(!description=*))

    Вот здесь ошибся)))) Выглядит вот так: (&(objectCategory=user)(!protocolSettings=*))

    Модератор
  • С правами правильными запускаю,  а как указать корень леса, мне предлагается только корневой домен?
    А в запросе я и хотел получить всех у кого включён, вернее если быть более точным не выключен!
  • Если не выключен, то аттрибут protocolSettings не имеет значения. Выберите (&(objectCategory=user)(!protocolSettings=*)) и увидите те объекты у которых аттрибут не менялся. Т.е. которым не выключали опцию.

    А Вы выберите корневой домен и укажите опцию "Включить субконтейнеры"

    Модератор
  • К сожалению эта опция не помогает.
  • Воспользуйтесь утилитой dsquery, в качестве StartNode поставьте forestroot.

    Модератор
  • Запрос пришлось модифицировать, т.к. он отображал также пользователей у которых нет почты вообще:

    Получилось так(всё прекрасно работает): (&(&(& (mailnickname=*) (| (&(objectCategory=person)(objectClass=user)(!protocolSettings=HTTP§0§1§§§§§§)(|(homeMDB=*)(msExchHomeServerName=*))) ))))

    Только вот когда начинаю делать через dsquery нихрена не идёт, тупо выводит всех пользователей во всех доменах...
    Помогите, а то ещё пару раз он мне всех пользователей выведет и я сломаю клавиатуру)))

    dsquery * forestroot -scope subtree -filter objectCategory=user !protocolSettings=HTTP§0§1§§§§§§ -limit 0
  • А модифицированный Вами запрос по лесу не пробовали?

    Клаву ломать не надо. Это ваш инструмент, кормилица

     

     

    Модератор