Server2k8：根據另一個組的成員身份阻止一個組的成員身份

我正在修改我公司的服務帳戶，我們發現有些需要能夠在本地登錄，有些只需作為服務登錄即可。我創建了兩個組，SvcAcct_Restricted 和 SvcAcct_Full。通過 GPO 設置“受限”以拒絕任何形式的互動式登錄。“完整”組現在是一個佔位符，但稍後可能會添加一些內容。我希望每個服務帳戶都屬於兩組之一。如果一個需要完全訪問權限的服務帳戶被添加到受限制的組，服務失敗，電話響，老闆把事情搞砸了，會議會議會議等等。

我想做的是阻止任何使用者帳戶被添加到“受限”組，如果它已經是“完整”的成員，反之亦然。我突然進入高級安全設置，但沒有看到任何看起來像“拒絕會員資格”的東西，而且我的 Google-fu 今天很弱。

AD 架構位於 Windows 2008R2。

任何幫助是極大的讚賞！

產品中沒有內置功能可以滿足您的需求。

安全組沒有 ACL 機制來控制添加哪些成員，只有誰可以修改成員資格。你得到的是一個有趣的難題。在文件系統世界中，動態訪問控制 (DAC) 可以輕鬆解決您遇到的問題，但類似 DAC 的布爾組成員資格功能不適用於特權。

不幸的是，你最好的選擇是編寫一些腳本。您可能可以編寫一個接收更改通知的腳本，以使其操作接近實時，而不是按設定的時間表執行。

---

有一些附加的廣告管理系統可以滿足您的需求。它們通過將組成員身份更改限制為僅 AD 管理系統的安全上下文來工作，從而強制您使用管理系統本身來執行組成員身份更改。

你也可以為這一組自己嘲笑類似的東西。您可以將“受限”組上的成員資格更改限制為特定的安全上下文，然後在該上下文中執行一個腳本來更改成員資格。

有沒有很好的機會，像這樣自己拼湊一些東西，你可能會造成漏洞？是的，一點沒錯！小心，如果你選擇做這樣的事情。

引用自：https://serverfault.com/questions/702640