Kelompok Keamanan Identitas Khusus dalam AD

0

Dalam direktori aktivitas, adakah cara untuk membuat grup keamanan yang menggunakan identitas khusus? Saya bisa menjelaskan mengapa saya mencoba melakukan ini, tetapi mengetiknya sedikit bertele-tele.

Yang ingin saya kumpulkan adalah grup yang Pengguna yang Diotentikasi kecuali PEMILIK PENCIPTA.

Saya ingin grup ini untuk menolak izin Pengguna yang Diotentikasi kecuali mereka memiliki izin PEMILIK folder atau file.

Masalah saya adalah, karena pengguna yang adalah PENCIPTA PEMILIK juga Pengguna yang Diotentikasi, jika saya menolak Pengguna yang Diautentikasi yang mengesampingkan izin yang telah saya tetapkan untuk PEMILIK PENCIPTA.

Mungkin tidak ada cara untuk melakukan hal seperti ini tetapi hanya mencari konfirmasi.

RoyDepape
sumber

Jawaban:

0

Itu tidak mungkin. Tolak entri selalu didahulukan dari Izinkan entri, kecuali entri Tolak diwariskan dan Bolehkan satu eksplisit.

Tetapi ada cara yang jauh lebih baik untuk mencapai apa yang Anda inginkan. Hapus saja entri Pengguna yang Diotentikasi dari ACL. (Anda mungkin harus menonaktifkan warisan terlebih dahulu.) Jika pengguna tidak cocok dengan aturan ACL, tindakan standarnya adalah Tolak. Oleh karena itu, jika Anda hanya menetapkan CREATOR OWNERhak yang diinginkan pada folder induk dan menghentikan entri Pengguna yang Diotentikasi dari menerapkan ke file, hanya orang yang membuat file akan memiliki akses ke sana.

Perhatikan juga bahwa CREATOR OWNERsebenarnya bukan orang; entri pada folder akan diganti dengan yang spesifik pengguna ketika pengguna itu membuat file di folder itu. Itu hanya terjadi sekali; itu bukan hal yang dinamis yang selalu merujuk pemilik.

Bacaan lebih lanjut: Izin NTFS, Bagian 2

Ben N
sumber
Terima kasih telah mengkonfirmasi Identitas Khusus tidak dapat digunakan dengan cara ini.
RoyDepape