개인 급여 데이터에만 액세스하기 위한 법적 이유로 AD 계정을 활성 상태로 유지하고 싶은 상황이 있습니다. 우리는 사용자 자신의 이메일을 포함하여 다른 모든 것에 대한 액세스를 차단하고 사서함을 활성 상태로 유지하고 싶습니다.
이를 달성하기 위해 수동으로 수행할 수 있는 작업이 몇 가지 있지만 부분적으로 자동화하고 싶습니다. Exchange 및 AD 내에서 특정 거부 권한이 있는 사용자를 여기에 추가하려는 목적으로 AD 그룹을 만들었습니다. 그룹 구성원에 대한 '로그온 거부' GPO가 있으므로 AD는 괜찮습니다.
Exchange의 경우 다음을 실행했습니다.
Get-MailboxDatabase -Identity "DB01" | Add-ADPermission -User "DOMAIN\DenyGroup" -AccessRights ExtendedRight -ExtendedRights Receive-As -Deny
특정 사용자에 대한 결과는 다음과 같습니다.
Get-MailboxPermission BadUser
User AccessRights IsInherited Deny
---- ------------ ----------- ----
NT AUTHORITY\SELF {FullAccess, ReadPermission} False False
DOMAIN\Administrator {FullAccess} True True
DOMAIN\Domain Admins {FullAccess} True True
DOMAIN\Enterprise A... {FullAccess} True True
DOMAIN\Organization... {FullAccess} True True
DOMAIN\DenyGroup {FullAccess} True True
NT AUTHORITY\SYSTEM {FullAccess} True False
NT AUTHORITY\NETW... {ReadPermission} True False
볼 수 있듯이 DenyGroup(사용자가 구성원으로 속함)은 사서함에 대한 FullAccess가 거부되었지만 사용자는 여전히 OWA를 통해 전자 메일에 액세스할 수 있습니다. 나는 NT AUTHORITY\SELF {FullAccess, ReadPermission}이 여전히 존재한다는 것을 알고 있지만 이것을 조작할 필요가 없고 거부가 우선시되는 곳에서 작동하기를 바랐습니다.
상속된 권한과 로컬 개체 수준에서 적용되는 권한과 관련하여 어떤 형태의 우선 순위가 있습니까? 명시적인 거부가 무엇이든 무시할 것이라고 생각했을 것입니다.