最近遇到一个要求,某企业的某些部门必须让本单位的部分员工不要根据外网地址申请Exchange电子邮件系统。随后,企业的电子邮件系统宣布申请外网地址,很难立即限制部分员工访问外网地址。经过讨论,想到了两个解决办法。
第一个计划是使用位置代理来显示他们的身份。反向代理机用于显示电子邮件系统的外部地址公告。当用户根据互联网访问OWA或outlookanywhere或activesync时,如果他们是一些受限制的用户,反向代理将阻止访问请求。这个方案虽然可行,但是会改变目前的系统架构。此外,TMG,微软的反向代理产品,已经停止工作。如果购买第三方产品会是一笔开支,这个计划很快就会被否定。
第二个方案使用IIS授权标准来限制用户访问。IIS授权的应用程序必须将URL授权添加到IIS安全因素中。根据授权标准,可以为某些用户、组或谓词配备访问限制。将这些用户添加到一个安全组中,然后根据IIS授权标准限制OWA、RPC(outlookanywhere)、EWS(EmailAccesstomac)文件目录访问,然后在内网中重新配置一个CAS网络服务器,使这些用户在内网的情况下可以根据这个网络服务器进行访问。这个计划很快就有了基础,所以刚刚开始实施。Windows2008R2Exchange2010在这种自然环境中使用。如果Exchange2013的自然环境相似。
1.首先在网络服务器管理工具中为IIS添加URL授权,并如下图所示启用它。
2.确认信息内容后开始安装即可。
3.安装完成后,打开IIS管理工具,选择OWA虚拟目录,然后双击鼠标授权标准
4.在右侧的实际 *** 作对话框中选择,并添加拒绝标准
5.如果您拒绝授予访问此web内容的管理权限,请启用特定的角色或用户组,并填写已建立的安全组的名称。
设备端,下面测试外部owa的访问,输入账号密码,提醒密码错误,无法登录。
打开outlook手机客户端,也提醒登录失败。
根据上述设备和检测,Exchange已经完全阻止了部分用户的外网地址访问电子邮件。因为EWS文件目录被屏蔽,所以需要在内网上搭建一个前端开发网络服务器,否则这些用户无法访问日历忙的情况。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)