我觉得这一定是一个常见问题解答,但我一直无法找出正确的术语来找到答案。
我有一个大型活动目录组,其中包含我想要授予特定资源访问权限的 101% 的用户。
我想以某种方式明确地从该组中删除一些用户,但将他们留在原来的组中(该组是顶级组的成员)。
例如:
G1 = A,B,C
G2 = D,E,F
G3 = G1 + G2 - F = A,B,C,D,E
我认为在某些情况下我可以通过组策略明确删除此类权限。但在这种情况下这行不通,因为我使用的是 Isilon NAS。它只查看组成员身份,不查看其他信息。
AD 域由中央 IT 管理;我相信它现在在 Windows 2012r2 上运行,但我对此不是 100% 确定。
答案1
除了为需要访问权限的用户创建一个单独的组之外,我看不出还有其他解决方案。这样,你也会有一个用于一个目的的组,在我看来,这是应该做的,因为它提供了更好的透明度。