显式拒绝 ACL 是否适用于域管理员帐户?

显式拒绝 ACL 是否适用于域管理员帐户?

我有一个需求,即与一个具有双向信任的客户建立联系(源公司不希望我们拥有完全的管理权限,因此我们遇到了很多权限问题)。

我们实际上需要域管理员权限,但仅限于单个 OU。

  • 如果我将帐户放在域管理员安全组中,然后对所有其他 OU 应用明确拒绝权限,会发生什么情况?
  • 域管理员会受到明确拒绝的影响吗?

答案1

显式拒绝权限始终优先于显式或继承的授予权限,因此,是的,拒绝会按照您的要求执行;但是,具有有效管理权限的用户将能够通过获取对象所有权并重置 ACL 来强行更改这些权限,因此,只要管理用户不想真正反抗,拒绝只会阻止他/她。

举个例子:在 Exchange 环境中,“域管理员”和“企业管理员”组明确拒绝所有用户对象的“接收为”和“发送为”权限的 ACL,以便管理用户无法打开其他人的邮箱;但是,作为管理用户,他们可以随时删除这些权限,因此如果他们真的愿意,他们完全可以打开任何邮箱。

一种更简单、更有效的方法是不要授予用户帐户管理权限,而是授予其对其将管理的 OU 及其所有子对象的完全控制权限。


顺便说一句,您不能将来自受信任域的外部用户帐户放在域全局组(例如“域管理员”)中;您只能将其放在域本地组(例如“管理员”)中,或放在成员计算机上的本地组中。

相关内容