如果我在 AD 对象(如用户)的“写入 userAccountControl”属性中为“Everyone”知名主体设置“拒绝”类型的权限,其工作方式与“保护对象免遭意外删除”类似,但可防止意外禁用,对吗?在某些 VIP 帐户或类似情况下,这种方法可行吗?还是说这是一种不好的做法?
答案1
您必须使用除“所有人”之外的组,但假设您有一个有效的通用“拒绝”,如果帐户被“意外”禁用,您应该能够通过事件日志追踪到禁用帐户的人,以重新减少帐户。除了不便之外,禁用帐户没有任何危害,但如果在紧急情况下(妥协)需要这样做,您现在必须追踪到合适的人来禁用帐户。这种做法有多“糟糕”取决于您对可能无法轻松禁用受损帐户的风险的承受能力。