JHH*_*JHH 3 active-directory groups
我有一个安全组 SG-SomeResource 提供对网络资源的访问。我还有一个通讯组 DG-MyOrg,它描述了一个组织单位。
我是否可以将 DG-MyOrg 包含为 SG-SomeResource 的成员,从而向 DG-MyOrg 的所有成员授予对资源的访问权限,或者我是否必须将 DG-MyOrg 的每个单独成员添加到 SG-SomeResource 中?
就像这样:
DG-我的组织
SG-SomeResource
Anne、Joe 和 Sarah 现在能够访问该资源,还是只有 Bob 能够访问该资源?
有趣的是,我找不到任何关于其工作原理的明确文档。我知道,当进入 Joe 的个人资料检查他的组成员身份时,不会显示 SG-SomeResource,因为它是嵌套组关系,但我不确定这是否也必然意味着他不会被授予对该资源的访问权限,或者SG 成员资格查找是否是递归的?
不,这行不通。
为了使 AD 中的权限正确传播,安全组的成员必须是安全主体。
这意味着每个对象都需要一个活动 SID,然后可以使用该活动 SID 将权限从一个成员链接到下一个成员。
由于通讯组有一个不活动的 SID,因此它会破坏链。
| 归档时间: |
|
| 查看次数: |
10946 次 |
| 最近记录: |