У нас бывают ситуации, когда я хотел бы, чтобы учетная запись AD была активной по юридическим причинам для доступа только к личным данным заработной платы. Мы хотели бы заблокировать доступ ко всему остальному, включая собственную электронную почту пользователя, но при этом сохранить почтовый ящик активным.
Хотя есть несколько вещей, которые я мог бы сделать вручную, чтобы достичь этого, я хотел бы частично автоматизировать это. Я создал группу AD с целью добавления к ней пользователей с определенными запрещающими разрешениями в Exchange и AD. AD в порядке, так как у меня есть объекты групповой политики, которые «запрещают вход» членам группы.
Для Exchange я запустил следующее:
Get-MailboxDatabase -Identity "DB01" | Add-ADPermission -User "DOMAIN\DenyGroup" -AccessRights ExtendedRight -ExtendedRights Receive-As -Deny
Результатом этого для конкретного пользователя является:
Get-MailboxPermission BadUser
User AccessRights IsInherited Deny
---- ------------ ----------- ----
NT AUTHORITY\SELF {FullAccess, ReadPermission} False False
DOMAIN\Administrator {FullAccess} True True
DOMAIN\Domain Admins {FullAccess} True True
DOMAIN\Enterprise A... {FullAccess} True True
DOMAIN\Organization... {FullAccess} True True
DOMAIN\DenyGroup {FullAccess} True True
NT AUTHORITY\SYSTEM {FullAccess} True False
NT AUTHORITY\NETW... {ReadPermission} True False
Как можно видеть, DenyGroup (членом которой является пользователь) отказано в FullAccess для почтового ящика, однако пользователь все еще может получить доступ к электронной почте через OWA. Я знаю, что NT AUTHORITY\SELF {FullAccess, ReadPermission} все еще существует, но я надеялся, что он будет работать там, где мне не придется возиться с этим, и отказ будет иметь приоритет.
Существует ли какая-либо форма приоритета в отношении унаследованных разрешений и разрешений, применяемых на уровне локальных объектов? Я бы подумал, что явный Deny переопределит что-нибудь.