在某些情況下,我希望出於法律原因保持 AD 帳戶處於活動狀態,以便僅存取個人薪資資料。我們希望阻止對其他所有內容的訪問,包括使用者自己的電子郵件,但保持郵箱處於活動狀態。
儘管我可以手動執行一些操作來實現此目的,但我想部分自動化它。我建立了一個 AD 群組,目的是向該群組新增具有 Exchange 和 AD 中的某些拒絕權限的使用者。 AD 沒問題,因為我有 GPO,它「拒絕登入」該群組的成員。
對於 Exchange,我運行了以下命令:
Get-MailboxDatabase -Identity "DB01" | Add-ADPermission -User "DOMAIN\DenyGroup" -AccessRights ExtendedRight -ExtendedRights Receive-As -Deny
對於特定使用者來說,結果是:
Get-MailboxPermission BadUser
User AccessRights IsInherited Deny
---- ------------ ----------- ----
NT AUTHORITY\SELF {FullAccess, ReadPermission} False False
DOMAIN\Administrator {FullAccess} True True
DOMAIN\Domain Admins {FullAccess} True True
DOMAIN\Enterprise A... {FullAccess} True True
DOMAIN\Organization... {FullAccess} True True
DOMAIN\DenyGroup {FullAccess} True True
NT AUTHORITY\SYSTEM {FullAccess} True False
NT AUTHORITY\NETW... {ReadPermission} True False
可以看出,DenyGroup(使用者所屬的群組)被拒絕對郵箱進行完全訪問,但使用者仍然可以透過 OWA 存取電子郵件。我知道 NT AUTHORITY\SELF {FullAccess, ReadPermission} 仍然存在,但我希望它能在我不必擺弄它的地方工作,並且拒絕會優先。
關於繼承的權限和在本地物件層級應用的權限是否存在某種形式的優先權?我以為明確的拒絕會覆蓋任何事情。