法的な理由から、個人の給与データへのアクセスのみを目的として AD アカウントをアクティブにしておきたい場合があります。ユーザー自身の電子メールを含むその他すべてへのアクセスをブロックしながら、メールボックスをアクティブにしておきたいと考えています。
これを実現するために手動で実行できることはいくつかありますが、部分的に自動化したいと思っています。Exchange と AD 内で特定の拒否権限を持つユーザーを追加する目的で AD グループを作成しました。グループのメンバーに対して「ログオンを拒否」する GPO があるため、AD は問題ありません。
Exchange では以下を実行しました:
Get-MailboxDatabase -Identity "DB01" | Add-ADPermission -User "DOMAIN\DenyGroup" -AccessRights ExtendedRight -ExtendedRights Receive-As -Deny
特定のユーザーの場合、その結果は次のようになります。
Get-MailboxPermission BadUser
User AccessRights IsInherited Deny
---- ------------ ----------- ----
NT AUTHORITY\SELF {FullAccess, ReadPermission} False False
DOMAIN\Administrator {FullAccess} True True
DOMAIN\Domain Admins {FullAccess} True True
DOMAIN\Enterprise A... {FullAccess} True True
DOMAIN\Organization... {FullAccess} True True
DOMAIN\DenyGroup {FullAccess} True True
NT AUTHORITY\SYSTEM {FullAccess} True False
NT AUTHORITY\NETW... {ReadPermission} True False
ご覧のとおり、DenyGroup (ユーザーがメンバーになっているグループ) はメールボックスへの FullAccess を拒否されていますが、ユーザーは OWA 経由で電子メールにアクセスできます。NT AUTHORITY\SELF {FullAccess, ReadPermission} がまだ存在していることはわかっていますが、これをいじる必要がなく、拒否が優先されるように機能することを望んでいました。
継承された権限とローカル オブジェクト レベルで適用された権限に関して、何らかの優先順位はありますか? 明示的な拒否がすべてを上書きすると考えていました。