在某些情况下,出于法律原因,我希望保持 AD 帐户处于活动状态,以便仅访问个人工资单数据。我们希望阻止对其他所有内容的访问,包括用户自己的电子邮件,但保持邮箱处于活动状态。
虽然我可以手动完成一些操作来实现这一点,但我希望部分自动化。我创建了一个 AD 组,目的是将用户添加到该组中,并在 Exchange 和 AD 中设置某些拒绝权限。AD 没问题,因为我有 GPO,可以“拒绝组成员登录”。
对于 Exchange,我已运行以下命令:
Get-MailboxDatabase -Identity "DB01" | Add-ADPermission -User "DOMAIN\DenyGroup" -AccessRights ExtendedRight -ExtendedRights Receive-As -Deny
对于特定用户来说,其结果是:
Get-MailboxPermission BadUser
User AccessRights IsInherited Deny
---- ------------ ----------- ----
NT AUTHORITY\SELF {FullAccess, ReadPermission} False False
DOMAIN\Administrator {FullAccess} True True
DOMAIN\Domain Admins {FullAccess} True True
DOMAIN\Enterprise A... {FullAccess} True True
DOMAIN\Organization... {FullAccess} True True
DOMAIN\DenyGroup {FullAccess} True True
NT AUTHORITY\SYSTEM {FullAccess} True False
NT AUTHORITY\NETW... {ReadPermission} True False
可以看出,DenyGroup(用户是其成员)被拒绝对邮箱进行完全访问,但用户仍然可以通过 OWA 访问电子邮件。我知道 NT AUTHORITY\SELF {FullAccess, ReadPermission} 仍然存在,但我希望它能够正常工作,这样我就不必摆弄它,并且拒绝将优先。
对于继承的权限和在本地对象级别应用的权限,是否存在某种形式的优先顺序?我原本以为显式拒绝会覆盖所有内容。