windows-server-2008 – Server2k8:根据另一个组中的成员身份阻止组中的成员身份

我正在修改我公司的服务帐户,我们发现有些人需要能够在本地登录,有些人只需登录即可作为服务.我创建了两个组,SvcAcct_Restricted和SvcAcct_Full.通过GPO设置“受限制”以拒绝任何形式的交互式登录. “Full”组现在是占位符,但稍后可能会添加一些内容.我希望每个服务帐户都在两个组中的一个.如果服务帐户获得需要完全访问权限被添加到受限制的组,服务失败,电话响起,老板不成比例,会议会议等等.

我想做的是阻止任何用户帐户被添加到“受限制”组中,如果它已经是“完整”的成员,反之亦然.我进入了高级安全设置,但没有看到任何看起来像“拒绝成员身份”的东西,而我今天的谷歌也很弱.

AD架构位于Windows 2008R2.

任何帮助是极大的赞赏!

产品中没有内置功能来执行您正在寻找的功能.

安全组没有ACL机制来控制添加哪些成员,只有谁可以修改成员资格.你得到的是一个有趣的难题.在文件系统领域,动态访问控制(DAC)可以轻松解决您遇到的问题,但类似于DAC的布尔组成员身份功能不适用于特权.

不幸的是,你最好的选择是编写脚本.您可能会编写一个接收change notifications的脚本,使其接近实时运行,而不是按设定的时间表运行.

有螺栓固定的AD管理系统可以做你想要的.它们的工作原理是将组成员身份更改限制为仅限AD管理系统的安全上下文,从而强制您使用管理系统本身来执行组成员身份更改.

对于这一组,你也可以嘲笑自己这样的事情.您可以将“受限制”组上的成员资格更改限制为特定安全上下文,然后在该上下文中运行脚本以更改成员资格.

有没有一个很好的机会,像你这样可以创造漏洞的东西?是的,一点没错!如果你选择做这样的事情,要小心.

相关文章

(1)when you ping a computer from itsafe,the ping command should return the local IP address. (...
1、点击win菜单,点击设置图标 2、选择系统选项 3、选择应用与程序选项 4、拉到最下方,选择程序与功能...
目前一直直接往Windows 2008 R2 Server中复制文件(暂时还没有搭建ftp服务),突然不能复制了,于是百度...
windows下使用vscode配合xebug调试php脚本 要下载有php_xebug.dll扩展的版本,最新版可能没有这个扩展,p...
在控制面板的程序与功能里启用和关闭windows功能打开,适用于linux的windows子系统
效果演示 推荐一个非常牛的文档网站生成器:docsify 我通过这个工具,成功将码云上的个人学习笔记发布到...