У нас есть ситуации, когда я хотел бы сохранить учетную запись AD активной по юридическим причинам для доступа только к персональным данным по заработной плате. Мы хотели бы заблокировать доступ ко всему остальному, включая собственную электронную почту пользователя, но при этом сохранить почтовый ящик активным.
Хотя есть несколько вещей, которые я мог бы сделать вручную, чтобы добиться этого, я хотел бы частично автоматизировать это. Я создал группу AD с намерением добавлять в нее пользователей с определенными правами запрета в Exchange и AD. AD в порядке, поскольку у меня есть GPO, которые «Запрещают вход в систему» для членов группы.
Для Exchange я выполнил следующее:
Get-MailboxDatabase -Identity "DB01" | Add-ADPermission -User "DOMAIN\DenyGroup" -AccessRights ExtendedRight -ExtendedRights Receive-As -Deny
Результатом этого для конкретного пользователя является:
Get-MailboxPermission BadUser
User AccessRights IsInherited Deny
---- ------------ ----------- ----
NT AUTHORITY\SELF {FullAccess, ReadPermission} False False
DOMAIN\Administrator {FullAccess} True True
DOMAIN\Domain Admins {FullAccess} True True
DOMAIN\Enterprise A... {FullAccess} True True
DOMAIN\Organization... {FullAccess} True True
DOMAIN\DenyGroup {FullAccess} True True
NT AUTHORITY\SYSTEM {FullAccess} True False
NT AUTHORITY\NETW... {ReadPermission} True False
Как можно увидеть, DenyGroup (участником которой является пользователь) отказано в FullAccess к почтовому ящику, однако пользователь все еще может получить доступ к электронной почте через OWA. Я знаю, что NT AUTHORITY\SELF {FullAccess, ReadPermission} все еще существует, но я надеялся, что это будет работать там, где мне не придется возиться с этим, и запрет будет иметь приоритет.
Есть ли какая-то форма приоритета в отношении унаследованных разрешений и разрешений, применяемых на уровне локального объекта? Я бы подумал, что явное Deny переопределит что угодно.