Tuve la necesidad de un cliente con una confianza bidireccional (la empresa fuente no quiere que tengamos derechos de administrador completos, por lo que tenemos muchos problemas de permisos).
Efectivamente necesitamos derechos de administrador de dominio, pero solo para una única unidad organizativa.
- ¿Qué sucede si coloco una cuenta en el grupo de seguridad de administración de dominio y luego aplico permisos de denegación explícitos para todas las demás unidades organizativas?
- ¿Puede un administrador de dominio verse afectado por denegaciones explícitas?
Respuesta1
Los permisos de denegación explícitos siempre tienen prioridad sobre los permisos de concesión explícitos o heredados, por lo que sí, una denegación hará lo que usted solicite; sin embargo, un usuario con derechos administrativos efectivos podrá cambiar esos permisos por la fuerza tomando posesión de los objetos y restableciendo las ACL, por lo que una denegación solo bloqueará a un usuario administrativo siempre que no quiera luchar contra él.
Caso en cuestión: en entornos Exchange, los grupos "Administradores de dominio" y "Administradores empresariales" tienen una ACL de denegación explícita para los permisos "Recibir como" y "Enviar como" en todos los objetos de usuario, de modo que los usuarios administrativos no puedan abrir los archivos de otras personas. buzones de correo; sin embargo, al ser usuarios administrativos, pueden eliminar esos permisos cuando lo deseen, por lo que pueden abrir perfectamente cualquier buzón, si realmente lo desean.
Un enfoque mucho más simple y efectivo sería no otorgar derechos administrativos a la cuenta de usuario, sino otorgarle permisos de Control total en la unidad organizativa que administrará y en todos sus objetos secundarios.
Por cierto, no puede colocar una cuenta de usuario externa de un dominio confiable en un grupo global de dominio como "Administradores de dominio"; sólo puede colocarlo en un grupo local de dominio como "Administradores", o en un grupo local en las computadoras miembros.