Temos situações em que gostaria de manter uma conta AD ativa por motivos legais apenas para acesso aos dados pessoais da folha de pagamento. Gostaríamos de bloquear o acesso a todo o resto, incluindo o e-mail do próprio usuário, mas manter a caixa de correio ativa.
Embora haja algumas coisas que eu poderia fazer manualmente para conseguir isso, gostaria de automatizá-lo parcialmente. Criei um grupo AD com a intenção de adicionar usuários a ele com certas permissões de negação no Exchange e no AD. O AD está OK, pois tenho GPOs que 'Negam logon' aos membros do grupo.
Para o Exchange, executei o seguinte:
Get-MailboxDatabase -Identity "DB01" | Add-ADPermission -User "DOMAIN\DenyGroup" -AccessRights ExtendedRight -ExtendedRights Receive-As -Deny
O resultado disso para o usuário específico é:
Get-MailboxPermission BadUser
User AccessRights IsInherited Deny
---- ------------ ----------- ----
NT AUTHORITY\SELF {FullAccess, ReadPermission} False False
DOMAIN\Administrator {FullAccess} True True
DOMAIN\Domain Admins {FullAccess} True True
DOMAIN\Enterprise A... {FullAccess} True True
DOMAIN\Organization... {FullAccess} True True
DOMAIN\DenyGroup {FullAccess} True True
NT AUTHORITY\SYSTEM {FullAccess} True False
NT AUTHORITY\NETW... {ReadPermission} True False
Como pode ser visto, o DenyGroup (do qual o usuário é membro) tem FullAccess negado à caixa de correio, mas o usuário ainda pode acessar o email via OWA. Eu sei que NT AUTHORITY\SELF {FullAccess, ReadPermission} ainda existe, mas eu esperava que funcionasse onde não precisasse mexer com isso e a negação teria precedência.
Existe alguma forma de precedência em relação às permissões herdadas e às permissões aplicadas no nível do objeto local? Eu teria pensado que uma negação explícita substituiria qualquer coisa.