Server2k8:根据另一个组中的成员资格防止成员身份

我正在修改我公司的服务帐户,我们发现有些需要能够在本地login,有些只需login即可。 我创build了两个组,SvcAcct_Restricted和SvcAcct_Full。 “限制”通过GPO设置,拒绝任何forms的交互式login。 “完整”组是现在的占位符,但稍后可能会添加一些内容。 我希望每个服务帐户都属于两个组中的一个。 如果一个服务账号得到了需要的全部访问权限,就会被添加到受限制的群组中,服务失败,电话铃响,老板吹嘘,会议会议等等。

我想要做的就是防止任何用户帐户被添加到“受限制”组中,如果它已经是“满”的成员,反之亦然。 我popup高级安全设置,但没有看到任何看起来像“拒绝会员资格”的东西,而我的Google-fu今天是虚弱的。

AD架构位于Windows 2008R2。

任何帮助是极大的赞赏!

  • 如何在Windows Server 2008上禁用NTP客户端
  • apache 2.2与PHP 5.3和miscrosoft SQL 2008崩溃
  • 过去的补丁 - 旧的还会显示吗?
  • 在Windows Server上使用内置软件RAID-1的任何缺点?
  • 处理器(_Total)\%空闲时间与处理器(_Total)\处理器时间不一致
  • 压力testingWindows Server 2k8 Box
  • One Solution collect form web for “Server2k8:根据另一个组中的成员资格防止成员身份”

    产品中没有内置的function来执行您要查找的function。

    安全组没有ACL机制来控制哪些成员被添加,只有谁可以修改成员。 你有什么是一个有趣的难题。 在文件系统世界中,dynamic访问控制(DAC)可以解决您手头上的问题,但类似于DAC的布尔组成员身份function不适用于特权。

    不幸的是,你最好的select是编写脚本。 您可能可以编写一个接收更改通知的脚本,以使其运行接近实时,而不是按照设定的时间表运行。


    有螺栓式的ADpipe理系统,可以做你正在寻找的东西。 他们通过将组成员更改限制在ADpipe理系统的安全上下文中,迫使您使用pipe理系统本身来执行组成员更改。

    你也可以为这个小组嘲笑这样的事情。 您可以将“受限”组中的成员身份更改限制为特定的安全上下文,然后在该上下文中运行脚本以更改成员资格。

    有没有一个很好的机会,像这样把自己敲到一起,可能会造成漏洞? 是的,一点没错! 要小心,如果你select做这样的事情。

    服务器问题集锦,包括 Linux(Ubuntu, Centos,Debian等)和Windows Server服务器.