У меня возникла необходимость обратиться к клиенту с двусторонним доверием (компания-источник не хочет, чтобы у нас были полные права администратора, поэтому у нас возникло много проблем с разрешениями).
Фактически нам необходимы права администратора домена, но только для одного OU.
- Что произойдет, если я помещу учетную запись в группу безопасности администраторов домена, а затем применю явный запрет разрешений для всех остальных организационных подразделений?
- Могут ли явные запреты повлиять на администратора домена?
решение1
Явные разрешения на отказ всегда имеют приоритет над явными или унаследованными разрешениями на предоставление, поэтому да, отказ сделает то, что вы просите; однако пользователь с действующими правами администратора сможет принудительно изменить эти разрешения, взяв на себя владение объектами и сбросив списки контроля доступа, поэтому отказ заблокирует только административного пользователя до тех пор, пока он/она не захочет фактически бороться с этим.
Показательный пример: в средах Exchange группы «Администраторы домена» и «Администраторы предприятия» имеют явно запрещенный ACL для разрешений «Получить как» и «Отправить как» для всех объектов пользователей, так что административные пользователи не могут открывать почтовые ящики других людей. Однако, будучи административными пользователями, они могут в любой момент удалить эти разрешения и, таким образом, могут открыть любой почтовый ящик, если действительно этого захотят.
Гораздо более простым и эффективным подходом было бы не предоставлять учетной записи пользователя права администратора, а предоставить ей разрешения полного доступа к организационному подразделению, которым она будет управлять, и ко всем ее дочерним объектам.
Кстати, вы не можете поместить учетную запись внешнего пользователя из доверенного домена в глобальную группу домена, например «Администраторы домена»; вы можете поместить ее только в локальную группу домена, например «Администраторы», или в локальную группу на компьютерах-участниках.