양방향 신뢰를 사용하는 클라이언트가 필요했습니다(원본 회사는 우리가 전체 관리자 권한을 갖는 것을 원하지 않으므로 권한 문제가 많이 있습니다).
사실상 도메인 관리자 권한이 필요하지만 단일 OU에 대해서만 필요합니다.
- 도메인 관리자 보안 그룹에 계정을 배치한 다음 다른 모든 OU에 대해 명시적인 거부 권한을 적용하면 어떻게 됩니까?
- 도메인 관리자가 명시적 거부의 영향을 받을 수도 있나요?
답변1
명시적 거부 권한은 항상 명시적 또는 상속된 부여 권한보다 우선합니다. 따라서 거부는 요청한 대로 수행됩니다. 그러나 유효한 관리 권한이 있는 사용자는 개체의 소유권을 가져오고 ACL을 재설정하여 해당 권한을 강제로 변경할 수 있으므로 거부는 관리 사용자가 실제로 거부하려는 경우에만 차단됩니다.
적절한 사례: Exchange 환경에서 "Domain Admins" 및 "Enterprise Admins" 그룹은 모든 사용자 개체에 대한 "Receive As" 및 "Send As" 권한에 대해 명시적으로 거부되는 ACL을 가지므로 관리 사용자는 다른 사람의 개체를 열 수 없습니다. 사서함; 그러나 관리 사용자는 원할 때마다 해당 권한을 제거할 수 있으므로 원할 경우 모든 사서함을 완벽하게 열 수 있습니다.
훨씬 간단하고 효과적인 접근 방식은 사용자 계정에 관리 권한을 부여하는 것이 아니라 관리할 OU와 모든 하위 개체에 대한 모든 권한을 부여하는 것입니다.
그런데 "Domain Admins"와 같은 도메인 글로벌 그룹에 신뢰할 수 있는 도메인의 외부 사용자 계정을 배치할 수 없습니다. "관리자"와 같은 도메인 로컬 그룹이나 구성원 컴퓨터의 로컬 그룹에만 배치할 수 있습니다.