Tive a necessidade de um cliente com confiança bidirecional (a empresa de origem não quer que tenhamos direitos totais de administrador, por isso estamos tendo muitos problemas de permissão).
Efetivamente, precisamos de direitos de administrador de domínio, mas apenas para uma única UO.
- O que acontece se eu colocar uma conta no grupo de segurança de administrador de domínio e aplicar permissões de negação explícitas para todas as outras unidades organizacionais?
- Um administrador de domínio pode ser afetado por negações explícitas?
Responder1
As permissões de negação explícitas sempre têm precedência sobre as permissões de concessão explícitas ou herdadas; portanto, sim, uma negação fará o que você pede; no entanto, um usuário com direitos administrativos efetivos poderá alterar essas permissões à força, assumindo a propriedade de objetos e redefinindo ACLs, portanto, uma negação bloqueará apenas um usuário administrativo, desde que ele não queira realmente combatê-la.
Caso em questão: em ambientes Exchange, os grupos "Administradores de domínio" e "Administradores corporativos" têm uma ACL de negação explícita para permissões "Receber como" e "Enviar como" em todos os objetos de usuário, para que usuários administrativos não possam abrir arquivos de outras pessoas. caixas de correio; no entanto, sendo utilizadores administrativos, podem remover essas permissões sempre que quiserem, sendo assim perfeitamente capazes de abrir qualquer caixa de correio, se realmente quiserem.
Uma abordagem muito mais simples e eficaz seria não conceder direitos administrativos à conta do usuário, mas conceder-lhe permissões de Controle Total na UO que ela gerenciará e em todos os seus objetos filhos.
Aliás, você não pode colocar uma conta de usuário externo de um domínio confiável em um grupo global de domínio, como "Administradores de domínio"; você só pode colocá-lo em um grupo local de domínio, como "Administradores", ou em um grupo local em computadores membros.