Fox*_*loy 1 active-directory domain-controller access-control-list
我需要一个具有双向信任的客户(来源公司不希望我们拥有完全的管理员权限,所以我们有很多权限问题)。
我们实际上需要域管理员权限,但仅适用于单个 OU。
显式拒绝权限始终优先于显式或继承的授予权限,因此,是的,拒绝会满足您的要求;但是,具有有效管理权限的用户将能够通过获取对象的所有权和重置 ACL 来强制更改这些权限,因此拒绝只会阻止管理用户,只要他/她不想实际对抗它。
举个例子:在 Exchange 环境中,“Domain Admins”和“Enterprise Admins”组对所有用户对象的“Receive As”和“Send As”权限都有明确的拒绝 ACL,因此管理用户无法打开其他人的邮箱;然而,作为管理用户,他们可以随时删除这些权限,因此如果他们真的愿意,他们完全能够打开任何邮箱。
一种更简单有效的方法是不向用户帐户授予管理权限,而是授予它对将管理的 OU 及其所有子对象的完全控制权限。
顺便说一句,您不能将来自受信任域的外部用户帐户放置在域全局组(例如“域管理员”)中;您只能将其放置在域本地组中,例如“管理员”,或成员计算机上的本地组中。
| 归档时间: |
|
| 查看次数: |
889 次 |
| 最近记录: |