Запретить доступ пользователю к почтовым папкам (public folders) и адресной книге (GAL) в Exchange 2013

Мы живем в то время, когда все больше людей начинает работать удаленно. Где-то причиной для этого является экономическая ситуация, а где-то развитие технологий, а где-то и то и другое, но факт остается фактом. Вот и у нас в компании все больше стало появляться людей, которые работают удаленно по договору найма или чему-то подобному. Соответственно вопрос ограничения доступа к внутренним ресурсам компании стал острее обычного. Одной из новых задач стало ограничение внешнего пользователя к глобальной адресной книге и общедоступным почтовым папкам. И там и там оказались нюансы.

Казалось бы чего проще в случае с запретом на доступ к папкам. Ставишь запрет на чтение корня и все. Логически да, а на деле в веб-управлялке Exchange 2013 просто нет такого пункта rootpf

Как всегда, в таких случаях на помощь приходит Powershell. Без него в администрировании под Windows становится все сложнее:

Проверяем текущий уровень разрешений на корень:
C:\>Get-PublicFolderClientPermission -Identity \ | ft -auto

Удаляем все разрешения для пользователя [email protected]:
C:\>Remove-PublicFolderClientPermission -Identity \ -User [email protected] -Confirm:$false

Проверяем, что получилось:
C:\>Get-PublicFolderClientPermission -Identity \ | ft -auto

Выставляем права доступа в None:
C:\>Add-PublicFolderClientPermission -Identity \ -User external[email protected] -AccessRights None

Проверяем еще раз, что получилось:
C:\>Get-PublicFolderClientPermission -Identity \ | ft -auto

Первая задача решена. Все оказалось не так сложно.
А вот со второй оказалось все не так просто. Поиск по Google выдавал достаточно скучные и сложнореализуемые идеи создать под группу или пользователя свою личную адресную книгу, пространство ресурсов, листы и потом все это прицепить политиками. Наверное, это правильно, поскольку так пишется на сайте microsoft, но мне кажется, что овчинка не стоит выделки.

Я поступил следующим образом:

  1. Создал Security group — BlockGAL (сюда мы будем добавлять наших счастливчиков)
  2. Запустил оснастку ADSI — adsiedit.msc
  3. Нашел ветку CN=Configuration, CN=Services, CN=Microsoft Exchange, CN=ВАШДОМЕН-ORG,  CN=Address List Container CN=All Global Address Lists
  4. Добавляем созданную ранее группу BlockGAL и выставляем ей Запретить на Чтение и voila!

adsi

Все, пользователь не видит адресную книгу вашей организации.

Так я решил поставленную задачу. Пишите, если у вас есть более красивые решения. И надеюсь что кому-то это пригодится.