Server2k8: impedisce l'appartenenza a un gruppo basato sull'appartenenza ad un altro gruppo

Sto rivendendo i conti di servizio della mia azienda e abbiamo scoperto che alcuni devono essere in grado di accedere localmente e alcuni sono OK con la logging solo come servizio. Ho creato due gruppi, SvcAcct_Restricted e SvcAcct_Full. "Restricted" è impostato tramite GPO per essere negato qualsiasi forma di login interattivo. Il gruppo "pieno" è adesso un segnaposto, ma alcune cose potrebbero essere aggiunte successivamente. Voglio che each account di servizio sia in uno dei due gruppi. Se un account di servizio che necessita di accesso completo viene aggiunto al gruppo limitato, i servizi falliscono, i telefoni squillano, i boss guadagnano le cose fuori dalla proporzione, le riunioni di riunioni di riunioni, ecc.

Quello che vorrei fare è impedire che un account utente venga aggiunto al gruppo "Restricted" se è già membro di "Full" e viceversa. Mi sono imbattuto in impostazioni di sicurezza avanzate, ma non ho visto niente che sembrava "negare l'adesione" e il mio Google-fu è debole oggi.

Lo schema AD è a Windows 2008R2.

Qualsiasi aiuto è molto apprezzato!

One Solution collect form web for “Server2k8: impedisce l'appartenenza a un gruppo basato sull'appartenenza ad un altro gruppo”

Non c'è funzionalità incorporata nel prodotto per fare quello che stai cercando.

I gruppi di protezione non dispongono di un meccanismo ACL per controllare i membri che vengono aggiunti, solo chi può modificare l'appartenenza. Quello che hai è un interessante argomento. Nel mondo del filesystem, il controllo dinamico di accesso (DAC) potrebbe risolvere il problema che hai a portta di mano, ma la funzionalità di appartenenza booleana del gruppo di tipo DAC non si applica ai privilegi.

La tua scommessa migliore sarà quello di scrivere qualcosa, purtroppo. Probabilmente è ansible scrivere uno script che riceve le notifiche di modifica per eseguire il suo funzionamento quasi in tempo reale, in confronto all'esecuzione di un programma impostato.


Ci sono sisthemes di gestione AD che possono fare quello che stai cercando. Lavorano limitando le modifiche appartenenti al gruppo solo al context di sicurezza del sistema di gestione AD, obbligandolo a utilizzare il sistema di gestione per eseguire le modifiche all'appartenenza ai gruppi.

Potresti imbrogliare qualcosa di simile a questo stesso gruppo. Potresti limitare le modifiche all'adesione nel tuo gruppo "Restricted" in un context di protezione specifico, quindi eseguire uno script in quel context che rende le modifiche apportte.

C'è una buona probabilità, bussando qualcosa a te stesso come questo per creare vulnerabilità? Si assolutamente! Fare attenzione, se si sceglie di fare qualcosa di simile.

Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.