Active Directory“负面”组成员资格 - 组减去一些用户

Active Directory“负面”组成员资格 - 组减去一些用户

我觉得这一定是一个常见问题解答,但我一直无法找出正确的术语来找到答案。

我有一个大型活动目录组,其中包含我想要授予特定资源访问权限的 101% 的用户。

我想以某种方式明确地从该组中删除一些用户,但将他们留在原来的组中(该组是顶级组的成员)。

例如:

G1 = A,B,C
G2 = D,E,F
G3 = G1 + G2 - F = A,B,C,D,E

我认为在某些情况下我可以通过组策略明确删除此类权限。但在这种情况下这行不通,因为我使用的是 Isilon NAS。它只查看组成员身份,不查看其他信息。

AD 域由中央 IT 管理;我相信它现在在 Windows 2012r2 上运行,但我对此不是 100% 确定。

答案1

除了为需要访问权限的用户创建一个单独的组之外,我看不出还有其他解决方案。这样,你也会有一个用于一个目的的组,在我看来,这是应该做的,因为它提供了更好的透明度。

相关内容