关键词:黑莓手机解决方案
第一个办法是微软推荐的办法,那就是不要把这类帐户用作邮件目的。虽然毫无疑问这实施起来最为有效,不过在IT的真实世界中基本不大可能。如果不可能不把这些帐户用于电子邮件目的,你还可以把所有的电子邮件转发到另外一个帐户上,然后以让Blackberry手机使用那一个帐户。遗憾的是,这会把相当的复杂性引入到企业的基础架构中,还可能导致不可预料的更多其它问题。不过可喜的是,还有一种可行的修复方法。
那就是使用dsacls工具(在Windows Server的Resource Kit工具包中可以找到),通过它你可以更改AdminSDHolder对象。办法就是使用这个工具把Blackberry服务帐户添加到AdminSDHolder对象中。这样,受保护的用户就可以使用Blackberry的服务了,而且这种写入的权限不会被重新覆盖。为了完成这项操作,你首先需要在服务器上安装dsacls工具,然后建立一个包含如下命令的批处理文件,并在已安装该工具的服务器上运行这个批处理文件:
dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "SELF:CA;Send As"
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "SELF:CA;Receive As"
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "SELF:CA;Change Password"
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "SELF:RPWP;Personal Information"
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "SELF:RPWP;Phone and Mail Options"
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "SELF:RPWP;Web Information"
dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "%BLACKBERRYSERVICEACCOUNT%:CA;Send As"
注意把其中的%BLACBERRYSERVICEACCOUNT%替换为真实Blackberry服务帐户的名称。在这之后,你需要把Blackberry服务帐户连同“发送为”许可添加到发生问题的受保护对象中。不幸的是,这么做可能会使得对Blackberry服务帐户的攻击能访问(通过更改ACL)受保护帐户。虽然一般来说,服务帐户都设有高强度的密码保护和登录限制,但这仍然是一个值得注意的潜在安全漏洞。
虽然这个问题没有完美的修复方法,但是理解所有的技术细节能帮助管理员根据各自的企业环境作出最好的决定。不管你采取的办法是更改组权限的分配,创建转发邮箱帐户,使用微软最佳方略,还是使用不同帐户分别用作管理和日常使用,更改AdminSDHolder对象的安全属性,或者索性禁止管理员使用Blackberry法邮件,这都可以说是一个真正的棘手问题,不仅发现起来不太容易,真正获得解决更是要付出相当的努力。