Я обновляю учетные записи служб моей компании, и мы обнаружили, что некоторым нужно иметь возможность входить в систему локально, а некоторым можно просто войти в систему в качестве службы. Я создал две группы: SvcAcct_Restricted и SvcAcct_Full. «Ограниченный» настраивается через GPO, чтобы запретить любую форму интерактивного входа в систему. Группа «Полная» сейчас является заполнителем, но кое-что может быть добавлено к ней позже. Я хочу, чтобы каждая учетная запись службы находилась в ОДНОЙ из двух групп. Если сервисная учетная запись, требующая полного доступа, добавляется в группу с ограниченным доступом, сервисы перестают работать, звонят телефоны, начальство раздувает вещи, встречи, встречи, встречи и т. Д.
Что я хотел бы сделать, так это предотвратить добавление любой учетной записи пользователя в группу «Ограниченная», если она уже является членом «Полной», и наоборот. Я зашел в расширенные настройки безопасности, но не увидел ничего похожего на «отказать в членстве», и мой гугл-фу сегодня слаб.
Схема AD находится в Windows 2008R2.
Любая помощь приветствуется!
В продукте нет встроенных функций, позволяющих делать то, что вы ищете.
Группы безопасности не имеют механизма ACL для управления который добавляются участники, только те, кто может изменять членство. У вас получилась интересная головоломка. В мире файловой системы динамический контроль доступа (DAC) может легко решить возникшую у вас проблему, но функция членства в логической группе, подобная DAC, не применяется к привилегиям.
К сожалению, лучше всего будет написать сценарий. Вероятно, вы могли бы написать сценарий, который получает уведомления об изменении чтобы сделать его работу практически в реальном времени, а не по установленному расписанию.
Существуют навесные системы управления AD, которые могут делать то, что вы ищете. Они работают, ограничивая изменения членства в группах только контекстом безопасности системы управления AD, заставляя вас использовать саму систему управления для изменения членства в группах.
Вы могли бы сами смоделировать что-то подобное для этой группы. Вы можете ограничить изменения членства в вашей «Ограниченной» группе определенным контекстом безопасности, а затем запустить сценарий в этом контексте, который изменяет членство.
Есть ли вероятность, что, собрав что-нибудь подобное, вы можете создать уязвимости? Да, конечно! Будьте осторожны, если решите сделать что-то подобное.