Kil*_*eye 4 security windows-server-2008 active-directory
我正在修改我公司的服务帐户,我们发现有些需要能够在本地登录,有些只需作为服务登录即可。我创建了两个组,SvcAcct_Restricted 和 SvcAcct_Full。“受限”是通过 GPO 设置的,以拒绝任何形式的交互式登录。“完整”组现在是一个占位符,但稍后可能会添加一些内容。我希望每个服务帐户都属于两个组之一。如果需要完全访问权限的服务帐户被添加到受限制的组中,则服务会失败,电话响起,老板把事情搞得不成比例,会议会议等等。
我想要做的是防止任何用户帐户被添加到“受限”组,如果它已经是“完整”的成员,反之亦然。我突然进入高级安全设置,但没有看到任何看起来像“拒绝会员资格”的东西,而且我的 Google-fu 今天很弱。
AD 架构位于 Windows 2008R2。
任何帮助是极大的赞赏!
产品中没有内置功能来执行您正在寻找的操作。
安全组没有 ACL 机制来控制添加哪些成员,只有谁可以修改成员资格。你得到的是一个有趣的难题。在文件系统世界中,动态访问控制 (DAC) 可以轻松解决您遇到的问题,但类似 DAC 的布尔组成员资格功能不适用于特权。
不幸的是,你最好的选择是编写一些脚本。您可能可以编写一个接收更改通知的脚本,以使其操作接近实时,而不是按设定的时间表运行。
有附加的 AD 管理系统可以满足您的需求。它们的工作原理是将组成员身份更改限制在 AD 管理系统的安全上下文中,强制您使用管理系统本身来执行组成员身份更改。
你也可以为这一组自己模拟类似的东西。您可以将“受限”组的成员身份更改限制为特定的安全上下文,然后在该上下文中运行一个脚本来更改成员身份。
是否有很好的机会,像这样自己将某些东西拼凑在一起,从而造成漏洞?是的,一点没错!小心,如果你选择做这样的事情。
| 归档时间: |
|
| 查看次数: |
678 次 |
| 最近记录: |