我正在改造公司的服务帐户,我们发现有些帐户需要能够本地登录,而有些帐户只需以服务身份登录即可。我创建了两个组,SvcAcct_Restricted 和 SvcAcct_Full。“Restricted”是通过 GPO 设置的,以拒绝任何形式的交互式登录。“Full”组目前是一个占位符,但以后可能会添加一些内容。我希望每个服务帐户都属于这两个组中的一个。如果需要完全访问权限的服务帐户被添加到受限组,服务就会失败、电话会响、老板会小题大做、开会开会等等。
我想做的是,如果某个用户帐户已经是“完全”组的成员,则阻止将其添加到“受限”组,反之亦然。我进入了高级安全设置,但没有看到任何类似“拒绝成员资格”的内容,而且我的 Google 能力今天很弱。
AD 模式位于 Windows 2008R2。
任何帮助是极大的赞赏!
答案1
产品中没有内置功能可以实现您想要的功能。
安全组没有 ACL 机制来控制哪个添加成员后,只有成员才能修改成员资格。你遇到了一个有趣的难题。在文件系统世界中,动态访问控制 (DAC) 可以轻松解决你遇到的问题,但类似 DAC 的布尔组成员资格功能不适用于特权。
不幸的是,最好的办法是编写一些脚本。你可以编写一个脚本来接收更改通知使其运行接近实时,而不是按照既定的时间表运行。
有一些附加的 AD 管理系统可以满足您的需求。它们的工作原理是将组成员资格更改限制在 AD 管理系统的安全上下文中,从而迫使您使用管理系统本身来执行组成员资格更改。
您也可以为这个组模拟类似的东西。您可以将“受限”组的成员资格更改限制在特定的安全上下文中,然后在该上下文中运行脚本以进行成员资格更改。
亲自将某样东西拼凑在一起,这样是否很有可能造成漏洞?是的——绝对有可能!如果您选择这样做,请务必小心。