Tenemos situaciones en las que me gustaría mantener activa una cuenta AD por motivos legales para acceder únicamente a datos personales de nómina. Nos gustaría bloquear el acceso a todo lo demás, incluido el correo electrónico del usuario, pero mantener el buzón activo.
Aunque hay algunas cosas que podría hacer manualmente para lograrlo, me gustaría automatizarlo parcialmente. Creé un grupo de AD con la intención de agregar usuarios a este con ciertos permisos de denegación dentro de Exchange y AD. AD está bien ya que tengo GPO que 'Deniegan el inicio de sesión' a los miembros del grupo.
Para Exchange he ejecutado lo siguiente:
Get-MailboxDatabase -Identity "DB01" | Add-ADPermission -User "DOMAIN\DenyGroup" -AccessRights ExtendedRight -ExtendedRights Receive-As -Deny
El resultado de esto para el usuario particular es:
Get-MailboxPermission BadUser
User AccessRights IsInherited Deny
---- ------------ ----------- ----
NT AUTHORITY\SELF {FullAccess, ReadPermission} False False
DOMAIN\Administrator {FullAccess} True True
DOMAIN\Domain Admins {FullAccess} True True
DOMAIN\Enterprise A... {FullAccess} True True
DOMAIN\Organization... {FullAccess} True True
DOMAIN\DenyGroup {FullAccess} True True
NT AUTHORITY\SYSTEM {FullAccess} True False
NT AUTHORITY\NETW... {ReadPermission} True False
Como puede verse, al DenyGroup (del que es miembro el usuario) se le niega el acceso total al buzón, pero el usuario aún puede acceder al correo electrónico a través de OWA. Sé que NT AUTHORITY\SELF {FullAccess, ReadPermission} todavía existe, pero esperaba que funcionara donde no tuviera que jugar con esto y la denegación tendría prioridad.
¿Existe algún tipo de precedencia con respecto a los permisos heredados y los permisos aplicados a nivel de objeto local? Pensé que una Denegación explícita anularía cualquier cosa.