none
Запрет на удаление писем в общем ящике Exch 16 + Outlook 16 RRS feed

  • Общие обсуждения

  • Добрый день! 

    Exchange 2016 CU4 + Outlook 2016 

    Создал общий ящик через EMC. Дал пользователям FullAccess, ящик автоматом появился в Аутлук. Все хорошо. Необходимости отправлять с этого ящика нет никакой, ящик выступает своеобразным накопителем общей инфы для группы пользователей.

    Задача - не дать пропасть ни одному письму из этого ящика. То есть сделать так, чтобы пользователь никоим образом не мог удалить письмо из Входящих. Ни через Delete, ни через Shift+Delete, ни настройкой у себя сортировочного правила, которое вытащит письмо из Входящих и переложит его в другое место. Среда враждебная, юзера не хотят ни работать, ни принимать нововведения, поэтому пытаются гадить по полной программе. Отсюда и задача. 

    Что сделал для этого: 

    1. Попытался раздать права ReadOnly на корень ящика и папку Входящие всем юзерам в этом ящике. Через PS с помощью Add-MailboxFolderPermission. Результат получился частичный, в OWA права заработали, пункт Удалить стал неактивным (если втсать на письмо). С Аутлуком не прокатило, можно удалять без проблем. 

    2. Попытался не давать право FullAccsee на ящик пользователю, а сразу дать ReadOnly на корень ящика и Входящие. В этом случае ящик не маппируется в Аутлук. 

    3. Попробовал раздать разрешения через Свойства файла данных ящика в Аутлук. Понял, что это аналог п.1, только в графическом варианте. Итог тот же, на Аутлук раздача не подействовала, более того, обнаружилось, что любой пользователь, у которого этот ящик есть может спокойно добраться до ствойств ящика и выставить себе какие угодно права. Фактически это лазейка для любителей "покрутить и сломать". 

    Где я ошибаюсь? Подскажите, что почитать, куда глянуть для решения задачи? 

    Спасибо!




    • Изменено Rem Redgate 7 января 2017 г. 15:19
    • Изменен тип Anton Sashev Ivanov 3 февраля 2017 г. 7:31 Обсуждение
    7 января 2017 г. 11:14

Все ответы

  • Привет.

    "Задача - не дать пропасть ни одному письму из этого ящика."

    Решается по-другому, и очень просто: через юридическое удержание.

    https://technet.microsoft.com/en-us/library/dn743673%28v=exchg.160%29.aspx?f=255&MSPPError=-2147217396

    https://technet.microsoft.com/en-us/library/ff637980(v=exchg.160).aspx

    "Среда враждебная, юзера не хотят ни работать, ни принимать нововведения, поэтому пытаются гадить по полной программе. Отсюда и задача. "

    Берегите себя, сочувствую.


    7 января 2017 г. 17:02
  • Спасибо за ответ, Дмитрий! 

    Скорее всего судебное удержание - этот то, что нужно! Но возникает вопрос: все эти методики используют Восстановление удаленных элементов, если я правильно понял. У общего ящика эта функция неактивна. Как это работает в этом случае?

    8 января 2017 г. 16:38
  • И удержание на месте, и судебное удержание если говорить русскими терминами используют теги, которыми помечаются элементы ящика. Свойства элементов, точнее говоря. Т.е. пришло письмо, проштамповалось меткой- не удалять. К восстановлению это не имеет отношения в принципе. Восстановление- это действие над элементом, а тут дополнительные свойства, или атрибуты, как угодно.

    Т.е. удалил пользователь письмо, а оно не удалилось а попало в специальное хранилище и лежит там спокойно.

    Непонятно, что не работает для общего ящика- просто берете и включаете из графики или консолью

    Set-Mailbox -LitigationHoldEnabled $true

    Нужна роль RBAC для этого конечно ,посмотрите повнимательнее все сценарии не торопясь. Фича с 2010Sp1 жива и пользуема, так что садитесь и рахбирайтесь не торопясь, почитывая документацию и подумывая над реализацией.

    8 января 2017 г. 17:14
  • Я не правильно выразился. Я все включил, и роли тоже дал. Я не нашел папку "Элементы с возможностью восстановления" в Outlook и пока, кроме того, что она по умолчанию скрыта никакой инфы как её включить не нашел. 
    8 января 2017 г. 18:51
  • Старайтесь выражать мысли правильно- хорошо заданный вопрос, как говорят- 50% ответа.

    Не удивительно, что не нашли. Это служебная папка и ее видно через EWS Editor скажем, если зацепиться.

    Но Вам, как администратору, это и не нужно. Если есть необходимость восстановить что-то удаленное, то создается поиск по ящику и содержимое экспортируется с pst файл. Потом этот пстшник можете также импортировать с ящик пользователя если это нужно или передать в СБ. То есть, это альтернатива бэкапу, но без особой магии.

    В общем, логика такая- для восстановления элементов делается запрос e Discovery, "просто так" удаленные элементы не увидеть.

    9 января 2017 г. 5:35
  • Старайтесь выражать мысли правильно- хорошо заданный вопрос, как говорят- 50% ответа.


    Спасибо за ценнейший совет, так и буду поступать в будущем.

    Что касается темы. В таком случае, если эти папки нигде не видны, то это не решение задачи от слова совсем. Потому что задача не дать удалить, а не восстанавливать в pst весь ящик. Я не просто так написал, что юзера сознательно саботируют процесс. То есть зачастую происходит так - удалили одно, а то и несколько писем. Кроме удаляющего никто не знает, какие, поток почты в этот ящик доходит до 200-300 писем в час (такой вот бизнесс-процесс). Спохватиться, что чего-то не хватает могут через 2-3 дня, а то и позже. Что восстанавливать - никто не знает, администраторы уж точно. Так что увы, но не решение.

     Кстати, удаление из этого ящик помещает удаленное письмо в ящик удаляющего, что тоже не добавляет ясности, кто это сделал. Журналы аудита включить конечно можно, но они тоже лежат в этих "волшебных" папках. Есть ли другие способы аудировать этот ящик?  


    9 января 2017 г. 6:47
  • Если Вы ставите задачу так, что "не дать удалить", то это только права гранулярно раздавать. Но права правами, а удалить все равно могут, в том числе и по ошибке, или же доверенные лица с правами удаления могут утратить доверие. :) Так что это как мне видится, тоже не виход для вас. А выход ,наверное, в транспортном правиле, которое будет копию в еще один ящик складывать и хранить. А вы потом политикой MRM на этом ящике можете автоматически удалять старые неактуальные письма. Таким образом, даже если в "основном" ящике письмо уйдет в страну волшебных папок, то в другом месте (ящик, группа) вы его сможете не потерять. Пользователям лучше всего сразу объяснить что администратор будет поумнее их, и ничего хорошего не получится, если делать сразу плохое.

    Касаемо аудита. Если есть озабоченность удалениями, то нужно смотреть в сторону продуктов третьих фирм, которые заточены на предотвращение утечек и аудит. Поисковики предложат уйму решений. Удобно, красиво, отчёты, все видно. Недостаток диалектический, как и достоинства- стоит денег.

    9 января 2017 г. 8:19
  • Если Вы ставите задачу так, что "не дать удалить", то это только права гранулярно раздавать. Но права правами, а удалить все равно могут, в том числе и по ошибке, или же доверенные лица с правами удаления могут утратить доверие. :) Так что это как мне видится, тоже не виход для вас. А выход ,наверное, в транспортном правиле, которое будет копию в еще один ящик складывать и хранить. А вы потом политикой MRM на этом ящике можете автоматически удалять старые неактуальные письма. Таким образом, даже если в "основном" ящике письмо уйдет в страну волшебных папок, то в другом месте (ящик, группа) вы его сможете не потерять. Пользователям лучше всего сразу объяснить что администратор будет поумнее их, и ничего хорошего не получится, если делать сразу плохое.

    Касаемо аудита. Если есть озабоченность удалениями, то нужно смотреть в сторону продуктов третьих фирм, которые заточены на предотвращение утечек и аудит. Поисковики предложат уйму решений. Удобно, красиво, отчёты, все видно. Недостаток диалектический, как и достоинства- стоит денег.

    Про дубляж в еще один ящик думал, как крайний вариант можно рассмотреть, там объем ящика дикий, за год 50-70 Гигабайт. Если только на внешку выпускать и складировать и раз в год чистить. 

    Про аудит понял, но ненастолько пока далеко зашло, чтобы привлечь тяжелую артиллерию. 

    9 января 2017 г. 11:54
  • Виктор, а в чем преимущество? Права на папки правильно раздадутся? 
    9 января 2017 г. 11:56
  • Общие папки хранятся в обычных ящиках, начиная с 2013 версии продукта, так что преимуществ по обсуждаемой теме лично мне (мне) не видно. Но я не продавец софта, конечно. ;)

    50 гигабайт за год- смешной объем, купите сата диск обычный или два и положите на них, если хочется уж сильной экономии. Лучше, конечно, SAS. Вопрос в требованиях по хранению. Ценно- найдутся деньги, никому не нужно- значит отвалится само. Излагайте техническое решение руководству и продолжайте делать добрые дела в понедельник.

    9 января 2017 г. 12:06