windows-server-2008 – Server2k8:根据另一个组中的成员身份阻止组中的成员身份

前端之家收集整理的这篇文章主要介绍了windows-server-2008 – Server2k8:根据另一个组中的成员身份阻止组中的成员身份前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我正在修改我公司的服务帐户,我们发现有些人需要能够在本地登录,有些人只需登录即可作为服务.我创建了两个组,SvcAcct_Restricted和SvcAcct_Full.通过GPO设置“受限制”以拒绝任何形式的交互式登录. “Full”组现在是占位符,但稍后可能会添加一些内容.我希望每个服务帐户都在两个组中的一个.如果服务帐户获得需要完全访问权限被添加到受限制的组,服务失败,电话响起,老板不成比例,会议会议等等.

我想做的是阻止任何用户帐户被添加到“受限制”组中,如果它已经是“完整”的成员,反之亦然.我进入了高级安全设置,但没有看到任何看起来像“拒绝成员身份”的东西,而我今天的谷歌也很弱.

AD架构位于Windows 2008R2.

任何帮助是极大的赞赏!

产品中没有内置功能来执行您正在寻找的功能.

安全组没有ACL机制来控制添加哪些成员,只有谁可以修改成员资格.你得到的是一个有趣的难题.在文件系统领域,动态访问控制(DAC)可以轻松解决您遇到的问题,但类似于DAC的布尔组成员身份功能不适用于特权.

不幸的是,你最好的选择是编写脚本.您可能会编写一个接收change notifications的脚本,使其接近实时运行,而不是按设定的时间表运行.

有螺栓固定的AD管理系统可以做你想要的.它们的工作原理是将组成员身份更改限制为仅限AD管理系统的安全上下文,从而强制您使用管理系统本身来执行组成员身份更改.

对于这一组,你也可以嘲笑自己这样的事情.您可以将“受限制”组上的成员资格更改限制为特定安全上下文,然后在该上下文中运行脚本以更改成员资格.

有没有一个很好的机会,像你这样可以创造漏洞的东西?是的,一点没错!如果你选择做这样的事情,要小心.

猜你在找的Windows相关文章