在完成前面文章的内容后,我们的多租户托管Exchange已经有了一些外观,但这还不够。我们必须进一步配备详细的详细通讯录管理权限,防止租户A的客户看到租户B的详细通讯录。
PS。今天这篇文章和下一篇文章中的内容可能会很无聊,但是为了更好地实现多租户,还是豁出去吧!
首先,你必须确保你的租户ou和你的租户OU下的客户已经成功分配到AD客户和电子计算机中的租户的用户组。因为自然环境存在一些问题,我们会在这些文章中遇到租户A、租户B、租户1\租户2\租户3,但基本原理还是一样的。
创建租户的用户组。
将租户OU下的所有客户添加到对方租户的用户组中。
将其添加到匹配的租户用户组。
检查租户用户组下的组成员。
好了,打开ADSI在线编辑器,提前准备启动,连接到搭载系统的分区。
导航至配置-服务-MicrosoftExchange-网站域名-地址列表容器,然后右键单击租户详细地址列表的特征。这里以租户A为例。(注意是一个租户的全局详细地址列表,不是系统软件构造默认的全局详细地址列表)
第一,大家选大家,去掉所有管理权限。
然后取消认证用户的管理权限。
然后点击高级进入高级页面,在高级权限管理页面点击添加。
选择一个租户用户组作为行为主体。
并参考以下开发设置。
接下来,将行为主体更改为B租户用户组,将类别更改为拒绝,并将更改应用于该目标和所有后代。权限管理见下图。
回到高级安全策略,我们可以看到租户B的拒绝内容已经加入。
回到租户A的详细通讯录的特殊页面,确保租户A的用户组具有加载和打开详细通讯录的管理权限。租户用户组B确定其有权拒绝管理。
然后我们会打开默认的全局详细通讯录,将认证用户的管理权限设置为空,也就是所有客户都看不到默认的全局详细通讯录。
经常很无聊,因为我们要进入这种方式,对所有的详细通讯录进行相对的修改,包括已经建立的详细通讯录,会议厅的详细通讯录等。
标准很简单,就是租户A应该看到的详细通讯录,作为租户A的用户组可以打开、加载、应用的所有目标和后代进行管理;匹配,也要把B租户用户组的权限管理为拒绝,应用到所有目标和后代。
之后,租户A只会看到租户A的详细通讯录,租户B只会看到租户B的详细通讯录,虽然方法有点生疏,但现阶段真的想不出更强的方法。如果只有大规模使用的可能,那么按照剧本制作,快速装备PS1应该是可以的。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)