none
OWA запретить пользователям менять права на папки RRS feed

  • Вопрос

  • Привет всем.

    Используем Exchange 2013

    Клиенты Аутлук и OWA

    В Аутлук и OWA у пользователей есть возможность выдавать права на свои папки (например на ВХОДЯЩИЕ).

    Появилась необходимость отключить такую возможность.

    В Аутлук всё делается легко через политики.

    А вот с OWA возникла проблема.

    К пользователеям применяется политика OWA Default. Подскажите как с помощью политики запретить пользователям менять права на свои папки?

    Заранее спасибо!

    7 ноября 2014 г. 13:35

Все ответы

  • Попробуйте запретить Set-MailboxFolderPermission с помощью RBAC

    Сазонов Илья http://isazonov.wordpress.com/

    7 ноября 2014 г. 17:57
    Модератор
  • Посмотрел права с помощью Get-MailboxFolderPermission

    На папку ВХОДЯЩИЕ права по умолчанию NONE - это только просмотр, однако пользователь может и просматривать и удалять письма и давать разрещения на эту папку другим пользователям.

    Вопрос остается открытым.

    Как запретить пользователю выдавать разрешения на почтовые папки.

    Спасибо!

    10 ноября 2014 г. 8:11
  • Вы не поняли. Все действия в конечном итоге трансформируются в вызов командлета. Что можно делать, а что нет определяется через RBAC. Т.е. вам нужно не вызывать командлет, а настроить права на него через RBAC.

    Сазонов Илья http://isazonov.wordpress.com/

    10 ноября 2014 г. 8:47
    Модератор
  • [PS] C:\Windows\system32>$a=Get-ManagementRoleEntry *\Add-MailboxFolderPermission
    [PS] C:\Windows\system32>$a.Count
    2
    [PS] C:\Windows\system32>$a
    
    Name                           Role                      Parameters
    ----                           ----                      ----------
    Add-MailboxFolderPermission    Mail Recipients           {AccessRights, Confirm, Debug, DomainController, ErrorActio...
    Add-MailboxFolderPermission    MyBaseOptions             {AccessRights, Confirm, Debug, DomainController, ErrorActio...
    
    
    [PS] C:\Windows\system32>$a=Get-ManagementRoleEntry *\Set-MailboxFolderPermission
    [PS] C:\Windows\system32>$a
    
    Name                           Role                      Parameters
    ----                           ----                      ----------
    Set-MailboxFolderPermission    Mail Recipient Creation   {AccessRights, Confirm, Debug, DomainController, ErrorActio...
    Set-MailboxFolderPermission    MyBaseOptions             {AccessRights, Confirm, Debug, DomainController, ErrorActio...
    

    По идее вам нужно изменить роль MyBaseOptions


    Сазонов Илья http://isazonov.wordpress.com/


    10 ноября 2014 г. 9:01
    Модератор
  • Странно, но если я полностью отключаю роль MyBaseOption в Default Role Assigment Policy, то при загрузке OWA кликнув правой кнопкой мыши на папке я всё равно могу установить любые разрешения для неё.

    Мне кажется , что редактирование свойств MyBaseOption здесь не поможет т.к. иначе при полном отключении MyBaseOption был бы виден эффект, а его нет.

    10 ноября 2014 г. 9:56
  • Есть же ещё роль Mail Recipients          


    Сазонов Илья http://isazonov.wordpress.com/

    10 ноября 2014 г. 10:11
    Модератор
  • Спасибо.

    Set-MailboxFolderPermission действительно в двух ролях.

    Но каким образом её можно запретить?

    10 ноября 2014 г. 10:41
  • И самое главное:

    Удаление Set-MailboxFolderPermission из Mail Recipient Creation   и MyBaseOptions не повлечет ли за собой последствий в виде невозможности заводить учетные записи или почтовые ящики?

    Заранее спасибо

    10 ноября 2014 г. 11:48
  • Обычно роль клонируют и на ней делают эксперименты. Исходные можно просто выключить для теста.

    Сазонов Илья http://isazonov.wordpress.com/

    11 ноября 2014 г. 4:29
    Модератор
  • Спасибо.

    Подскажите пожалуйста у меня есть три роли с командлетами которые мне нужно запретить

    MyBaseOptions

    Mail Recipients

    Mail Recipient Creation

    однако только одна из них MyBaseOptions принадлежит к группе ролей Default Role Assigment Policy

    Эта политика применяется к пользователям.

    По идее если я её (MyBaseOptions) отключаю , то и командлеты не должны выполняться.

    Однако этого не происходит.

    Как мне определить область применения Mail Recipients и Mail Recipient Creation, чтобы понять применяются ли роли к пользователям?

    11 ноября 2014 г. 8:45
  • И всё-же проясните ситуацию.

    Почему на поведение (на возможность выдавать права на папки в OWA) влияют роли

    Mail Recipients

    Mail Recipient Creation

    ведь в политике Default Role Assignmebt Policy у нас только MyBaseOptions, а других политик к пользователям у меня не применяется, значит по сути, и влиять должна только роль MyBaseOptions.

    Разве не так?

    Заранее спасибо!

    11 ноября 2014 г. 13:11
  • 1. Клонировал Mail Recipients
    New-ManagementRole –Name “AddRestrict” – Parent “Mail Recipients”
    2. Клонировал Mail Recipient Creation
    New-ManagementRole –Name “SetRestrict” – Parent “Mail Recipient Creation”
    3. Клонировал MyBaseOptions
    New-ManagementRole –Name “ADDSetRestrict” – Parent “MyBaseOptions”
    4. Убрал командлеты из клонированых групп
    Get-ManagementRoleEntry “AddRestrict\addmailboxfolderpermission” | Remove-ManagementRoleEntry
    Get-ManagementRoleEntry “SetRestrict\Setmailboxfolderpermission” | Remove-ManagementRoleEntry
    Get-ManagementRoleEntry “AddSetRestrict\addmailboxfolderpermission” | Remove-ManagementRoleEntry
    Get-ManagementRoleEntry “AddSetRestrict\Setmailboxfolderpermission” | Remove-ManagementRoleEntry

    таким образом получил клоны ролей
    Mail Recipients
    Mail Recipient Creation
    MyBaseOptions
    но без командлетов addmailboxfolderpermission и Setmailboxfolderpermission

    Создал группу ролей через ECP - RestrictADDSET
    Этой группе присвоил роли
    AddRestrict и SetRestrict

    Область записи по умолчанию

    Роли MyBaseOptions и её клон ADDSetRestrict в политике Default Role Assigment Policy вообще не включены

    ИТОГ: Пользователь как мог раздавать права на папки так и сейчас может.

    Подскажите , что я делал не так или может быть чего-то не доделал?

    Спасибо!

    11 ноября 2014 г. 14:55
  • Добавил пользователя в группу

    add-rolegroupmemeber restrictaddset -member andreeva@domen.ru

    но в этом случае тоже не работает, пользователь по прежнему имеет право выдавать права на папки.

    Вероятно через RBAC эту проблему не решить.

    Может быть помогут параметры политики OWA

    DelegateAccessEnabled

    ExplicitLogonEnabled

    IRMEnabled

    13 ноября 2014 г. 8:35
  • В логах посмотрите, что именно вызывается для изменения прав, какой командлет.

    Сазонов Илья http://isazonov.wordpress.com/

    14 ноября 2014 г. 6:14
    Модератор
  • На днях продуктовая группа сказала примерно так: основная концепция в том, что пользователь "король" своего почтового ящика (имеет прямые права FullAccess), поэтому любые попытки ограничить его права могут привести к катастрофическим последствиям (кроме некоторых протестированных и опубликованных сценариев).

    Поэтому для сценариев, подобных вашему, рекомендуется давать отрицательный ответ.


    Сазонов Илья http://isazonov.wordpress.com/

    15 ноября 2014 г. 7:16
    Модератор
  • Спасибо, вероятно это действительно так.

    P.S.

    На мой взгляд довольно странно , что в Аутлуке это можно легко ограничить (через груп. политики), а в OWA пользователь "король". ИМХО нестыковка.

    17 ноября 2014 г. 8:05
  • Outlook это клиент, и политикой вы режете только его возможности, а в случае OWA действия выполняются прямо на сервере, а подрезать на нем возможности нет.

    Сазонов Илья http://isazonov.wordpress.com/

    17 ноября 2014 г. 13:10
    Модератор