web-dev-qa-db-ja.com

Server2k8:別のグループのメンバーシップに基づいてグループのメンバーシップを防止する

会社のサービスアカウントを刷新しているところ、ローカルでログオンできる必要があるものもあれば、サービスとしてログインするだけで問題ないものもあることがわかりました。 SvcAcct_RestrictedとSvcAcct_Fullの2つのグループを作成しました。 「制限付き」はGPOを介して設定され、インタラクティブログインの形式を拒否されます。「完全」グループは今のところプレースホルダーですが、後で追加される可能性があります。各サービスが必要です。アカウントが2つのグループのいずれかに含まれるようにします。フルアクセスが必要なサービスアカウントが制限されたグループに追加されると、サービスが失敗し、電話が鳴り、上司が不釣り合いになり、会議、会議、会議などが発生します。

私がやりたいのは、ユーザーアカウントがすでに「フル」のメンバーである場合に「制限付き」グループに追加されないようにすることです。その逆も同様です。高度なセキュリティ設定を使用しましたが、「メンバーシップを拒否する」ように見えるものは何も表示されず、今日のGoogle-fuは脆弱です。

ADスキーマはWindows2008R2にあります。

どんな助けでも大歓迎です!

4
KiltedBuckeye

製品には、探していることを実行するための組み込み機能はありません。

セキュリティグループには、制御するACLメカニズムがありませんwhichメンバーが追加され、メンバーシップを変更できるのは誰だけです。あなたが持っているのは興味深い難問です。ファイルシステムの世界では、動的アクセス制御(DAC)で問題を簡単に解決できますが、DACのようなブールグループメンバーシップ機能は特権には適用されません。

残念ながら、最善の策は何かをスクリプト化することです。 変更通知 を受信するスクリプトを記述して、設定されたスケジュールで実行するのではなく、ほぼリアルタイムで操作を行うことができます。


あなたが探していることをすることができるボルトオンAD管理システムがあります。これらは、グループメンバーシップの変更をAD管理システムのセキュリティコンテキストのみに制限することで機能し、管理システム自体を使用してグループメンバーシップの変更を実行する必要があります。

この1つのグループのために、そのようなものを自分でモックアップすることもできます。 「制限付き」グループのメンバーシップの変更を特定のセキュリティコンテキストに制限してから、そのコンテキストでメンバーシップを変更するスクリプトを実行できます。

このように自分で何かをノックして脆弱性を生み出す可能性は十分にありますか?そのとおり!このようなことを選択した場合は注意してください。

6
Evan Anderson