我需要一个双向信任的客户(源公司不希望我们有完整的pipe理权限,所以我们有许多权限问题)。
我们实际上需要域pipe理员权限,但仅限于单个OU。
明确的拒绝权限总是优先于显式或inheritance的授予权限,所以,拒绝会做你所要求的。 但是,具有有效pipe理权限的用户可以通过取得对象的所有权和重新设置ACL来强制更改这些权限,因此只要pipe理用户不想实际打击,他/她就会阻止pipe理用户。
例如:在Exchange环境中,“Domain Admins”和“Enterprise Admins”组对于所有用户对象的“Receive As”和“Send As”权限具有明确的拒绝ACL,以便pipe理用户无法打开其他人的邮箱; 然而,作为pipe理用户,他们可以随时删除这些权限,因此,如果他们真的想要打开任何邮箱,都是完全可以打开的。
一个更简单和有效的方法是不给用户帐户的pipe理权限,而是给予它将pipe理的OU及其所有子对象的完全控制权限。
顺便说一句,你不能放置一个域的全局组中的信任域的外部用户帐户,如“域pipe理员”; 您只能将其放置在域本地组(例如“pipe理员”)或成员计算机上的本地组中。