Wir haben Situationen, in denen ich aus rechtlichen Gründen ein AD-Konto aktiv halten möchte, um nur auf persönliche Gehaltsdaten zugreifen zu können. Wir möchten den Zugriff auf alles andere, einschließlich der eigenen E-Mails des Benutzers, blockieren, das Postfach jedoch aktiv halten.
Obwohl ich einige Dinge manuell tun könnte, um dies zu erreichen, möchte ich es teilweise automatisieren. Ich habe eine AD-Gruppe erstellt, um dieser Benutzer mit bestimmten Verweigerungsberechtigungen innerhalb von Exchange und AD hinzuzufügen. AD ist in Ordnung, da ich GPOs habe, die Mitgliedern der Gruppe die Anmeldung verweigern.
Für Exchange habe ich Folgendes ausgeführt:
Get-MailboxDatabase -Identity "DB01" | Add-ADPermission -User "DOMAIN\DenyGroup" -AccessRights ExtendedRight -ExtendedRights Receive-As -Deny
Für den jeweiligen Benutzer hat dies folgende Auswirkungen:
Get-MailboxPermission BadUser
User AccessRights IsInherited Deny
---- ------------ ----------- ----
NT AUTHORITY\SELF {FullAccess, ReadPermission} False False
DOMAIN\Administrator {FullAccess} True True
DOMAIN\Domain Admins {FullAccess} True True
DOMAIN\Enterprise A... {FullAccess} True True
DOMAIN\Organization... {FullAccess} True True
DOMAIN\DenyGroup {FullAccess} True True
NT AUTHORITY\SYSTEM {FullAccess} True False
NT AUTHORITY\NETW... {ReadPermission} True False
Wie man sehen kann, wird der DenyGroup (deren Mitglied der Benutzer ist) der Vollzugriff auf das Postfach verweigert, der Benutzer kann jedoch weiterhin über OWA auf E-Mails zugreifen. Ich weiß, dass NT AUTHORITY\SELF {FullAccess, ReadPermission} immer noch existiert, aber ich hatte gehofft, dass es funktioniert, sodass ich nicht damit herumspielen muss und die Verweigerung Vorrang hat.
Gibt es eine Art Vorrang in Bezug auf geerbte Berechtigungen und Berechtigungen, die auf lokaler Objektebene angewendet werden? Ich hätte gedacht, dass eine explizite Verweigerung alles außer Kraft setzen würde.