Windows-Server-2008

Server2k8:根據另一個組的成員身份阻止一個組的成員身份

  • July 1, 2015

我正在修改我公司的服務帳戶,我們發現有些需要能夠在本地登錄,有些只需作為服務登錄即可。我創建了兩個組,SvcAcct_Restricted 和 SvcAcct_Full。通過 GPO 設置“受限”以拒絕任何形式的互動式登錄。“完整”組現在是一個佔位符,但稍後可能會添加一些內容。我希望每個服務帳戶都屬於兩組之一。如果一個需要完全訪問權限的服務帳戶被添加到受限制的組,服務失敗,電話響,老闆把事情搞砸了,會議會議會議等等。

我想做的是阻止任何使用者帳戶被添加到“受限”組,如果它已經是“完整”的成員,反之亦然。我突然進入高級安全設置,但沒有看到任何看起來像“拒絕會員資格”的東西,而且我的 Google-fu 今天很弱。

AD 架構位於 Windows 2008R2。

任何幫助是極大的讚賞!

產品中沒有內置功能可以滿足您的需求。

安全組沒有 ACL 機制來控制添加哪些成員,只有誰可以修改成員資格。你得到的是一個有趣的難題。在文件系統世界中,動態訪問控制 (DAC) 可以輕鬆解決您遇到的問題,但類似 DAC 的布爾組成員資格功能不適用於特權。

不幸的是,你最好的選擇是編寫一些腳本。您可能可以編寫一個接收更改通知的腳本,以使其操作接近實時,而不是按設定的時間表執行。


有一些附加的廣告管理系統可以滿足您的需求。它們通過將組成員身份更改限制為僅 AD 管理系統的安全上下文來工作,從而強制您使用管理系統本身來執行組成員身份更改。

你也可以為這一組自己嘲笑類似的東西。您可以將“受限”組上的成員資格更改限制為特定的安全上下文,然後在該上下文中執行一個腳本來更改成員資格。

有沒有很好的機會,像這樣自己拼湊一些東西,你可能會造成漏洞?是的,一點沒錯!小心,如果你選擇做這樣的事情。

引用自:https://serverfault.com/questions/702640