Я чувствую, что это, должно быть, часто задаваемые вопросы, но я не смог определить правильную терминологию, чтобы найти ответ.
У меня есть большая группа групп активного каталога, содержащая 101% пользователей, которым я хотел бы предоставить доступ к определенному ресурсу.
Я хотел бы каким-то образом явно удалить несколько пользователей из этой группы, но оставить их в их исходной группе (которая является членом группы верхнего уровня).
например.:
G1 = A,B,C
G2 = D,E,F
G3 = G1 + G2 - F = A,B,C,D,E
Я думаю, что в некоторых ситуациях я мог бы явно удалить подобные привилегии через групповую политику. В данном случае это не сработает, я работаю с Isilon NAS. Он смотрит на членство в группе, ничего больше.
Домен AD управляется центральной ИТ-службой; Я считаю, что сейчас он работает на Windows 2012r2, но я не уверен в этом на 100%.
Я не вижу другого решения, кроме как создать отдельную группу с пользователями, которым нужен доступ. Таким образом, у вас также будет одна группа для одной цели, которая, на мой взгляд, такова, как это должно быть сделано, поскольку это дает гораздо лучшую прозрачность.