none
有關 Exchange 2003 RPC over https 可以限制用戶嗎? RRS feed

  • 問題

  • 大家好,

    公司近來在exchange 2003 開放了PRC over https.

    之後發現, 任何用戶也可以在家(Window XP, Outlook 2003) 透過Outlook anywhere 讀取郵件.

    其實,公司只想部份的員工用Outlook anywhere 讀取郵件.

     

    公司只有1部exchange 2003, 請問有什麼方法呢?

     

    謝謝

    2008年7月18日 上午 10:45

解答

  •  Szekit 寫信:

    大家好,

    公司近來在exchange 2003 開放了PRC over https.

    之後發現, 任何用戶也可以在家(Window XP, Outlook 2003) 透過Outlook anywhere 讀取郵件.

    其實,公司只想部份的員工用Outlook anywhere 讀取郵件.

     

    公司只有1部exchange 2003, 請問有什麼方法呢?

     

    謝謝

    這個問題在很久前曾與微軟討論過,其結果是否定的!

    ROH就是MAPI,要停用ROH就必需要停用該帳戶停用MAPI

    但這與實務操作經驗上有很大的落差!

    除了ROH就是MAPI之外,還有另一個很大的原因是在於

    ROH使用HTTPS加密封包,你很難經由此封包做些什麼Audit機制..

    現行技術唯一比較可行的方法就是在你的防火牆上

    用帳戶管制從Internet到Exchange的HTTPS Protocol

    2008年7月21日 上午 01:37

所有回覆

  • Dear :

     

    就我個人所知,預設是沒辦法的,除非你要關閉特定人士的OWA功能,如此使用者也無法使用OWA歐,不然你就必須在防火牆上去設定(ROH是用443Port)或是IIS去進行設定囉,不過這還是很麻煩的!

     

     

    以上資訊提供您參考囉!

     

    2008年7月18日 下午 05:04
  • Mike 你好,

     

    我已經在AD 的 Exchange Features/Outlook Web Access 選了 Disable,  但用戶一樣可以用outlook anywhere.....

    2008年7月18日 下午 07:41
  • Dear :

     

    你可以參考一下:

    Configuring RPC over HTTP user interface options

    You can configure your Outlook deployment to enable all RPC over HTTP options or disable all RPC over HTTP options. You deploy a registry key to configure these options (for example, by using the Add/Remove Registry Entries page in the Custom Installation Wizard).

    By default, the RPC over HTTP options are enabled, if the user's computer has the required operating system version.

    You add the value entry in the following subkey:

    HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Outlook\RPC

    Value name: EnableRPCTunnelingUI

    Value data: DWORD

    Set the value to 1 to enable RPC over HTTP user interface options. Set the value to 0 to disable the options.

    Note that even if you enforce enabling the RPC over HTTP user interface options, the options will be dimmed if the user's computer does not have the required operating system version.

     

    資料來源

    http://office.microsoft.com/en-us/ork2003/HA011402731033.aspx

     

    以上

    2008年7月19日 下午 05:18
  • 先謝謝你的回覆,

    因為用戶是在別的地方所以不可能用這方法.

     

    2008年7月20日 上午 08:50
  •  Szekit 寫信:

    大家好,

    公司近來在exchange 2003 開放了PRC over https.

    之後發現, 任何用戶也可以在家(Window XP, Outlook 2003) 透過Outlook anywhere 讀取郵件.

    其實,公司只想部份的員工用Outlook anywhere 讀取郵件.

     

    公司只有1部exchange 2003, 請問有什麼方法呢?

     

    謝謝

    這個問題在很久前曾與微軟討論過,其結果是否定的!

    ROH就是MAPI,要停用ROH就必需要停用該帳戶停用MAPI

    但這與實務操作經驗上有很大的落差!

    除了ROH就是MAPI之外,還有另一個很大的原因是在於

    ROH使用HTTPS加密封包,你很難經由此封包做些什麼Audit機制..

    現行技術唯一比較可行的方法就是在你的防火牆上

    用帳戶管制從Internet到Exchange的HTTPS Protocol

    2008年7月21日 上午 01:37
  • 看到這令人意外的答案!

    因為我也遇到這個問題,真的無解嗎?

    上面有人提到用GPO的方式來隱藏ROH界面,但事實上OUTLOOK上的設定還是存在。

    是否有方式可以去修改Exchange Proxy裡的項目,如"使用這個URL連線到我的Exchange Proxy 伺服器"裡面的值!

    這樣至少可以變通,管理者才能管理到在外亂跑的使用者。

    以上是否還有救呢?深感困惑!!!

     

    感謝大家

    2008年12月15日 上午 08:45
  • 使用URL Redirect也是不可行的!

    因為Exchange無從判斷起,封包都是加密的

    且Exchange Server也不可能說當某某某連線時就給另一組不同的URL

    這個問題先前已經和微軟討論多次,以目前來說是無解!

    管理者或許可以從使用者用戶端電腦的信件根憑證來著手

    因為 ROH要能通,首先就必需先信件與Exchange Server所用憑證相同的根憑證

    如果是使用企業內部的CA Server或許還有機會不讓那些使用者下載信任這些根憑證

    但若是使用外部第三方CA憑證,那麼此法也將不可行,因為那些CA大多已是Windows OS內建已信任之根憑證

     

    2008年12月15日 下午 02:34
  • Jammy您好,謝謝您的回覆!

    不過更深深的感到無力了~~~唉

    因為已經將這個功能發放到每個單位,而這些單位又有海外地點。

    最重要的是,公司為了資訊安全開始限制該功能,所以才會有這樣的需求產生,也讓我深深的感到錯愕。

    -----------------------------------------------------------------

    您說到一個重點CA憑證,這倒是一個好的方向,我可以試著重新建一個CA憑證,來試試看!

    但是就我的經驗OUTLOOK的憑證是自動載入的電腦內,這樣的話不依舊無法管控。

    ------------------------------------------------------------------

    另外,我提到"(是否有方式可以去修改Exchange Proxy裡的項目,如"使用這個URL連線到我的Exchange Proxy 伺服器"裡面的值)!

    我的想法是,GPO for offices 2007使有隱藏OUTLOOK中啟用ROH的選項!

    但是GPO對於ROH裡的細項部分卻沒有管理的功能,是否有方法透過GPO對於ROH裡的細項部分去做管控,這樣的話我就可以透過GPO去設定OU。
    也就可以讓有權力使用的USER繼續使用ROH,而無法使用的人則修改URL這筆資料!

    這樣至少可以變通,管理者才能管理到在外亂跑的使用者。

    不過是否可行呢?對於GPO自行建立管控項目?

    還請Jammy解惑一下,感激不盡!!

     

    tree

    2008年12月16日 上午 01:06
  •  tree_msn 寫信:

    Jammy您好,謝謝您的回覆!

    不過更深深的感到無力了~~~唉

    因為已經將這個功能發放到每個單位,而這些單位又有海外地點。

    最重要的是,公司為了資訊安全開始限制該功能,所以才會有這樣的需求產生,也讓我深深的感到錯愕。

    -----------------------------------------------------------------

    您說到一個重點CA憑證,這倒是一個好的方向,我可以試著重新建一個CA憑證,來試試看!

    但是就我的經驗OUTLOOK的憑證是自動載入的電腦內,這樣的話不依舊無法管控。

    ------------------------------------------------------------------

    另外,我提到"(是否有方式可以去修改Exchange Proxy裡的項目,如"使用這個URL連線到我的Exchange Proxy 伺服器"裡面的值)!

    我的想法是,GPO for offices 2007使有隱藏OUTLOOK中啟用ROH的選項!

    但是GPO對於ROH裡的細項部分卻沒有管理的功能,是否有方法透過GPO對於ROH裡的細項部分去做管控,這樣的話我就可以透過GPO去設定OU。
    也就可以讓有權力使用的USER繼續使用ROH,而無法使用的人則修改URL這筆資料!

    這樣至少可以變通,管理者才能管理到在外亂跑的使用者。

    不過是否可行呢?對於GPO自行建立管控項目?

    還請Jammy解惑一下,感激不盡!!

     

    tree


    就我的認知GPO裡面的設定是故定的,除非能夠自己編一個ADM來做吧。
    既然要管理USER那端,是否建立兩個GPO,1個設定隱藏套用大多數人,另1個設定啟用套用至可使用的user。
    雖然比較麻煩但也許可以滿足您的需求。
    2009年1月13日 上午 11:54
  •  tree_msn 寫信:

    Jammy您好,謝謝您的回覆!

    不過更深深的感到無力了~~~唉

    因為已經將這個功能發放到每個單位,而這些單位又有海外地點。

    最重要的是,公司為了資訊安全開始限制該功能,所以才會有這樣的需求產生,也讓我深深的感到錯愕。

    -----------------------------------------------------------------

    您說到一個重點CA憑證,這倒是一個好的方向,我可以試著重新建一個CA憑證,來試試看!

    但是就我的經驗OUTLOOK的憑證是自動載入的電腦內,這樣的話不依舊無法管控。

    ------------------------------------------------------------------

    另外,我提到"(是否有方式可以去修改Exchange Proxy裡的項目,如"使用這個URL連線到我的Exchange Proxy 伺服器"裡面的值)!

    我的想法是,GPO for offices 2007使有隱藏OUTLOOK中啟用ROH的選項!

    但是GPO對於ROH裡的細項部分卻沒有管理的功能,是否有方法透過GPO對於ROH裡的細項部分去做管控,這樣的話我就可以透過GPO去設定OU。
    也就可以讓有權力使用的USER繼續使用ROH,而無法使用的人則修改URL這筆資料!

    這樣至少可以變通,管理者才能管理到在外亂跑的使用者。

    不過是否可行呢?對於GPO自行建立管控項目?

    還請Jammy解惑一下,感激不盡!!

     

    tree

     

    首先必需先釐清一件事情,ROH的使用對象原本就是提供給在外無法Join Domain的使用者來使用的.

    因此使用GPO來套用似乎是有漏洞.至於你所提變更或條改Exchange Proxy也是有問題的

    原因在於Exchange無法判斷誰該套用哪一條Rule,若要用GPO也會有上述所說的問題.

    2009年1月14日 上午 02:32