我可以拥有只适用于Exchange(不是域名)的密码吗?

我最近从Postfix / Dovecot迁移了一个客户端到Exchange 2010。 在旧的设置下,使用黑莓手机的用户需要input他们的用户名/密码,然后第三方(即黑莓)“知道”用户名/密码。 我总是对此感到不安,但至less如果密码落入了错误的手中,他们只能访问一个电子邮件帐户,而没有其他资源。

现在,有权访问我们的RDS网关的用户也有一个黑莓手机,它需要她的域用户名和密码通过第三方的手中。 这使我比以前更不舒服。

什么是最简单的方法呢? 理想情况下,我希望用户拥有仅适用于IMAP的第二个密码。

安全的,“正确”的方法是部署一个BES,但这对单个员工来说是一笔巨款。

当然还有非技术性的解决方法 – 禁止Blackberry,并将其改为支持ActiveSync。 再次,这可能是一个很难卖给客户。

所以你可能不得不采取一些丑陋的黑客。 在我设法禁止IMAP和POP之前,有一个我曾在Exchange 2003使用过的日子, 没有保证它仍然有效,但它所依赖的核心技巧是IMAP协议的一部分,所以值得一试。

首先,为她创build第二个域帐户,并给予她的电子邮件的完全访问权限,但没有别的。 然后让她configuration她的黑莓使用IMAPlogin名的域名/用户名/邮箱名称,其中“用户名”是“假”凭证和“邮箱名称”是“真实的”。

例如,如果她当前的用户名是CONTOSO/sjsmith ,而您创build的新的受限制帐户是CONTOSO/sjsbb ,那么她使用用户名CONTOSO/sjsbb/sjsmithlogin到IMAP,并从sjsbb帐户login密码。

您的RDS网关应该只允许特定的用户/组,而不是所有的域用户。
如果您按照类似于此的说明( http://technet.microsoft.com/en-us/library/dd983949(v=ws.10) ,您可能已授权域用户组。您要创build一个新组AD针对RDS用户,只允许RDS访问此组,并且仅将需要访问的用户放入该组。

您可以通过创build一个AD OU并指定组策略限制来进一步locking仅限电子邮件的用户。

为了更好地控制Blackberry的function,Blackberry Express Server是免费的,并且支持在小型部署中直接在Exchange 2010服务器上运行。 http://us.blackberry.com/business/software/besx.html