Безопасные почтовые ящики Exchange
Обратные галочки иначе. "Внешние команды" к спасению.
sed -i '.bak' 's/searchText/replaceText/g' `grep -l searchText \`find . -name '*.ext'\``
Здесь мы имеем, находят поиск '*.ext', который затем дан как файлы для поиска grep, которые являются данным к sed, который делает фактическую замену. Это имеет преимущество, что это не порождает новый процесс grep для каждого файла, который найден. Так же для sed.
Я не знаю, можно ли заблокировать администратора. Как Вы восстановили бы почтовый ящик, если существует повреждение?
Системные администраторы являются системными администраторами частично, потому что существует слой полного доверия для высокопоставленного системного администратора. Системные администраторы могут считать любые данные на сервере, прочитать электронные письма, осуществить сниффинг трафика, изменить пароли... по существу они - боги в сети и серверах.
Если Вы не доверяете системному администратору, у Вас есть проблема.
Это - HR и вопрос политики, не технологическая проблема. Вам нужны ясно разъясненные политики, которые диктуют то, что может и не может быть допущено. Иначе они должны были бы знать, что, даже если почтовые ящики защищаются, системные администраторы могли бы использовать пакетный сниффинг, снимок экрана, и т.д.... и если Вам удалось так или иначе заблокировать администратора, письма получения удачи, диагностирование проблем о тех машинах и обнаружения, если кто-то еще установил вредоносное программное обеспечение на тех рабочих станциях и читает те сообщения!
Как был сказан, это не действительно возможно.
То, что может быть сделано, конечно, является событиями на тех почтовых ящиках, может контролироваться, и журналы событий на обменных серверах могут быть защищены. Как Erik указывает, даже это не поможет, если системный администратор заберет домой ленту для резервного копирования, и восстановите ее.
В конце дня, хотя, если директора не доверяют системным администраторам затем бизнес или нуждаются в меньшем количестве параноидальных директоров или большем количестве защищенных системных администраторов, в зависимости от того, правы ли директора быть взволнованными.
Единственным путем это возможно, не должен сохранять электронные письма в обмен, который у крачки освобождает их от любой системы архивации электронной почты на месте. В зависимости от какой регулирующей среды Вы живете в, который может быть очень очень плохой идеей.
Но в конечном счете это сводится к доверительной проблеме. Если они не могут доверять своим собственным Администраторам высшего уровня для не сования их носа в области, им не предложили войти к (возможно, они считали немного слишком много историй BOFH), то тот администратор не должен работать там. Это назвало профессиональную этику, и один из главных для системных администраторов не должен идти поиск информации для любопытства. Поэтому я получил проверку сплошного фона на это и мое последнее задание системного администратора.
Тем не менее я видел примеры, где у высокоуровневых пользователей была своя собственная единственная личность IT только для них. Они поддержали отдельные почтовые среды и были человеком, который обработал настольный IT для C-комплекта. Остальная часть hoi polloi IT должна была работать через того одного человека. Это может действительно работать, когда тот один человек является хорошим парнем и готов работать с остальной частью компании. Это может быть совершенно злым, когда тот один человек позволяет питанию перейти к их голове, и они начинают идти своим собственным путем только, чтобы пойти их собственным путем.
У администратора всегда будет некоторый способ войти в почтовые ящики их пользователей, является ли это с помощью Exchange Server, через OWA, через стороннее устройство спам-фильтра, или возможно даже путем восстановления от резервного копирования (это даже уклонилось бы от стандартных контрольных журналов на Exchange Server). Это - действительно доверительная проблема больше, чем технический.
Единственный действительно безопасный способ сделать это было бы, чтобы старшие управляющие использовали клиентское шифрование для всей их почты, с помощью защищенного от пароля ключа. Мне нелегко полагать, что они согласятся перейти через обручи, необходимые, чтобы сделать это, все же.
Это не возможно. Microsoft стоит на безопасности, всегда был то, что администраторы могут получить доступ ко всему, даже вещи, к которым они не могут получить доступ (является ли это через изменяющиеся полномочия или владение взятия объекта).
Теперь другие, как Novell, проявили другой подход в прошлом, где администраторам можно было удалить доступ из объектов без способа получить его назад. Большое крушение этого состоит в том, что части Вашей файловой системы, хранилища каталога или почтовых ящиков могли легко стать полностью недоступными без обращения за помощью.
Так, если Ваши руководители не хотят управлять своим собственным Exchange Server (и домен), Вы оказываетесь перед необходимостью жить в границах Microsoft.
Что насчет того, если фактические администраторы (ребята, которые выполняют повседневную работу) будут удалены из групп администраторов домена и подразделений организации Exchange? Насколько я понимаю [*], это необходимые разрешения, необходимые для просмотра почтового ящика.
Тогда пароль для «настоящей» учетной записи администратора (которая все еще имеет членство в Domain Admin и Exchange OU) известен только директорам компании.
Конечно, это ограничит возможности отладки и настройки фактических администраторов; но когда потребуется дополнительный доступ, один из директоров должен будет вмешаться.
Я очень симпатизирую оригинальному плакату: глава моей компании настаивает на такой же политике. Его организация была кропотливо создана для разделения административной власти между разными людьми. Это расстраивает,
[*] Большой отказ от ответственности: я только изучаю этот материал, поэтому, пожалуйста, отнеситесь к этому с большой долей скепсиса.