我需要一個具有雙向信任的客戶(來源公司不希望我們擁有完整的管理權限,因此我們遇到了很多權限問題)。
我們實際上需要網域管理員權限,但僅限於單一 OU。
- 如果我將帳戶放入網域管理員安全性群組,然後對所有其他 OU 套用明確拒絕權限,會發生什麼情況?
- 網域管理員是否會受到明確拒絕的影響?
答案1
明確拒絕權限始終優先於明確或繼承的授予權限,因此,是的,拒絕將執行您所要求的操作;但是,具有有效管理權限的使用者將能夠透過取得物件所有權並重置 ACL 來強制更改這些權限,因此只要管理使用者不想實際對抗,拒絕只會阻止他/她。
典型的例子:在 Exchange 環境中,「網域管理員」和「企業管理員」群組對所有使用者物件的「接收方式」和「傳送方式」權限有明確的拒絕 ACL,因此管理使用者無法開啟其他人的郵箱;但是,作為管理用戶,他們可以隨時刪除這些權限,因此如果他們確實想要的話,完全可以打開任何郵箱。
一種更簡單且有效的方法是不向使用者帳戶授予管理權限,而是向其授予對其將管理的 OU 及其所有子物件的完全控制權限。
順便說一句,您不能將來自受信任網域的外部使用者帳戶放置在網域全域群組(例如「網域管理員」)中;您只能將其放入網域本機群組(例如「管理員」)或成員電腦上的本機群組中。