双方向の信頼関係を持つクライアントからのニーズがありました (ソース会社は私たちに完全な管理者権限を持たせたくないので、多くの権限の問題が発生しています)。
実質的にはドメイン管理者権限が必要ですが、これは単一の OU に対してのみ必要です。
- アカウントをドメイン管理者セキュリティ グループに配置し、他のすべての OU に対して明示的な拒否権限を適用するとどうなりますか?
- 明示的な拒否によってドメイン管理者が影響を受ける可能性はありますか?
答え1
明示的な拒否権限は常に明示的または継承された許可権限よりも優先されるため、拒否は要求どおりに機能します。ただし、有効な管理権限を持つユーザーは、オブジェクトの所有権を取得して ACL をリセットすることにより、これらの権限を強制的に変更できるため、拒否は、管理ユーザーが実際にそれに対抗することを望まない限り、管理ユーザーをブロックするだけです。
一例を挙げると、Exchange 環境では、「Domain Admins」および「Enterprise Admins」グループには、すべてのユーザー オブジェクトに対する「Receive As」および「Send As」アクセス許可の ACL を明示的に拒否する権限があるため、管理ユーザーは他のユーザーのメールボックスを開くことができません。ただし、管理ユーザーであるため、いつでもこれらのアクセス許可を削除できるため、本当に必要な場合はどのメールボックスでも完全に開くことができます。
はるかにシンプルで効果的なアプローチは、ユーザー アカウントに管理者権限を与えるのではなく、管理する OU とそのすべての子オブジェクトに対するフル コントロール権限を与えることです。
ちなみに、信頼されたドメインからの外部ユーザー アカウントを「Domain Admins」などのドメイン グローバル グループに配置することはできません。配置できるのは、「Administrators」などのドメイン ローカル グループ、またはメンバー コンピューターのローカル グループのみです。