Interdire l'accès a la messagerie la nuit.

[Spitzberg]

Bonjour à tous,
Ma direction me demande, pour un groupe d'utilisateurs précis (une vingtaine), d'interdire l'accès à la messagerie par exemple en semaine de 19h à 6h, et le week end tout le temps.

J'ai fouillé dans la console exchange sans succès.

Auriez vous une idée de comment faire ? (gpo, modification sur chaque compte, etc etc...)
Sachant qu'ils ne doivent accéder ni depuis leur outlook ni depuis le OWA.

Merci par avance.

[anexus]

Bonjour,

Le moyen le plus simple (à part bloquer tout le flux mais dans ton cas c'est juste pour 20 utilisateurs) serait de faire un script le soir et le matin dans lesquel tu désactive les comptes utilisateurs.

Autre point (à tester) qui me vient en écrivant, serait de jouer sur l'option "Horaire d'accès" présent sur l'onglet Compte de l'utilisateur AD.
Je n'ai jamais tenté cette méthode mais ça devrait fonctionner.

[Spitzberg]

Merci je vais tester ta première solution.
La seconde ne fonctionne pas, j'ai déjà essayé mais le webmail reste accessible :/

[magnancc51]

Impressionnant comme demande

[Spitzberg]

Tu trouves ?
On en entend de plus en plus parler, de ces patrons qui empêchent leur utilisateurs de "trop" bosser.
Je pense qu'il y a eu pas mal de procès sur le thème de "Mon boss me mettait une telle pression que je devais bosser la nuit et le week end".

Pour ce qui est de mon soucis, j'ai procédé comme suit :

Un script qui désactive les comptes des utilisateurs présents dans le groupe "nomail".
La désactivation pour ces mêmes utilisateurs de la fonctionnalité de boite aux lettres "Outlook Web App" et "Exchange active sync".

Avec la combinaison de ces actions, on arrive à l'impossibilité de se loguer sur les boites emails, que ce soit depuis son PC, depuis le OWA, ou depuis son smartphone.


Et hop le matin un script inverse.

[anexus]

Merci pour ton retour.
Par contre je suis quand même étonné que la simple désactivation de suffise pas.

[magnancc51]

Un script qui désactive les comptes des utilisateurs présents dans le groupe "nomail".
La désactivation pour ces mêmes utilisateurs de la fonctionnalité de boite aux lettres "Outlook Web App" et "Exchange active sync".

J'avais pensé à ça aussi.
Mais est ce que ça désactive l'accès via Outlook Anywhere ?

[anexus]

Moi quand une personne quitte la société je désactive le compte et les logiciels ne fonctionne plus (iphone, owa, activesync etc...)
D'ailleurs rien que quand tu lock un compte utilisateur tu as l'iphone qui t'affiche une demande de mot de passe sans arrêt.

[magnancc51]

Je ne me rappelles plus comment agit Exchange dans ce cas.
La BAL continue de recevoir les mails ?

De mémoire, si on supprime un compte, il supprime également la BAL :/

[anexus]

Oui si le compte est désactivé la BAL continue de recevoir les emails.

[jlefay]

Tu trouves ?
On en entend de plus en plus parler, de ces patrons qui empêchent leur utilisateurs de "trop" bosser.
Je pense qu'il y a eu pas mal de procès sur le thème de "Mon boss me mettait une telle pression que je devais bosser la nuit et le week end".

Pour ce qui est de mon soucis, j'ai procédé comme suit :

Un script qui désactive les comptes des utilisateurs présents dans le groupe "nomail".
La désactivation pour ces mêmes utilisateurs de la fonctionnalité de boite aux lettres "Outlook Web App" et "Exchange active sync".

Avec la combinaison de ces actions, on arrive à l'impossibilité de se loguer sur les boites emails, que ce soit depuis son PC, depuis le OWA, ou depuis son smartphone.


Et hop le matin un script inverse.

Bonjour,

Intéressant comme sujet car on m'a demandé la même chose récemment. Est-ce que ça te dérange de nous montrer ton script ?
J'avais commencé à chercher mais je m'orienté plus avec des règles horaires sur mon firewall.

Merci d'avance ^^

[Spitzberg]

Moi quand je disable le user, sa messagerie reste dispo en OWA... étrange (AD 2012R2+ Exchange 2010 SP3)

Mon script est mis dans un planificateur de taches sur mon exchange avec les paramètres suivants :
Programme : powershell.exe
Arguments : -noprofile -executionpolicy Unrestricted -file C:\SCRIPTS\disablemails.ps1

j'ai créé un groupe "disablemails" dans lequel j'ai mis mes users.

Et le corps du script :

add-pssnapin Microsoft.Exchange.Management.PowerShell.E2010
Import-Module activedirectory

Get-ADGroupMember -Identity "disablemails" | Disable-ADAccount

Set-CASMailbox -Identity toto -OWAEnabled $false
Set-CASMailbox -Identity toto -ActiveSyncEnabled $false




Faut répéter les deux dernières lignes pour chaque samaccountname, j'ai pas réussi a le faire avec un pipe de mon groupe encore.
Pour le matin, un autre script identique avec Enable-ADAccount et des $true a la place des $false


C'est un script minimaliste que je vais améliorer pour avoir un minimum de contrôles en cas de mauvaise exécution.

[jlefay]

Super, merci pour le partage, si tu l'améliore je suis aussi preneur et de mon côté si je met en place cette solution, je t'en informerai.

[kazer]

Pas mal, c'est le pendant du "droit à la déconnexion" qui devient le "devoir à la déconnexion", ca peut être aussi pour éviter que les syndicats te tombent dessus