我正在修改我公司的服务帐户,我们发现有些人需要能够在本地登录,有些人只需登录即可作为服务.我创建了两个组,SvcAcct_Restricted和SvcAcct_Full.通过GPO设置“受限制”以拒绝任何形式的交互式登录. “Full”组现在是占位符,但稍后可能会添加一些内容.我希望每个服务帐户都在两个组中的一个.如果服务帐户获得需要完全访问权限被添加到受限制的组,服务失败,电话响起,老板不成比例,会议会议等等.
我想做的是阻止任何用户帐户被添加到“受限制”组中,如果它已经是“完整”的成员,反之亦然.我进入了高级安全设置,但没有看到任何看起来像“拒绝成员身份”的东西,而我今天的谷歌也很弱.
AD架构位于Windows 2008R2.
任何帮助是极大的赞赏!
产品中没有内置功能来执行您正在寻找的功能.
原文链接:https://www.f2er.com/windows/368477.html安全组没有ACL机制来控制添加哪些成员,只有谁可以修改成员资格.你得到的是一个有趣的难题.在文件系统领域,动态访问控制(DAC)可以轻松解决您遇到的问题,但类似于DAC的布尔组成员身份功能不适用于特权.
不幸的是,你最好的选择是编写脚本.您可能会编写一个接收change notifications的脚本,使其接近实时运行,而不是按设定的时间表运行.
有螺栓固定的AD管理系统可以做你想要的.它们的工作原理是将组成员身份更改限制为仅限AD管理系统的安全上下文,从而强制您使用管理系统本身来执行组成员身份更改.
对于这一组,你也可以嘲笑自己这样的事情.您可以将“受限制”组上的成员资格更改限制为特定安全上下文,然后在该上下文中运行脚本以更改成员资格.
有没有一个很好的机会,像你这样可以创造漏洞的东西?是的,一点没错!如果你选择做这样的事情,要小心.
