Grupo de segurança de identidade especial no AD

0

No diretório de atividades existe uma maneira de criar um grupo de segurança que utiliza uma identidade especial? Eu posso explicar por que estou tentando fazer isso, mas digitá-lo está ficando um pouco prolixo.

O que eu gostaria de reunir é um grupo que seja um usuário autenticado, exceto o PROPRIETÁRIO CRIADOR.

Eu quero esse grupo para negar permissões de Usuários Autenticados, a menos que eles tenham a permissão CREATOR OWNER de uma pasta ou arquivo.

Meu problema é que, como o usuário CREATOR OWNER também é Authenticated User, se eu negar o Authenticated User, isso substitui as permissões Allow que eu configurei para CREATOR OWNER.

Provavelmente não há como fazer algo assim, apenas procurando confirmação.

    
por RoyDepape 24.02.2016 / 23:23

1 resposta

0

Isso não é possível. As entradas de negação sempre têm precedência sobre Permitir entradas, a menos que a entrada Negar seja herdada e a Permitir seja explícita.

Mas há uma maneira muito melhor de realizar o que você está procurando. Basta remover a entrada Usuários autenticados da ACL. (Você pode ter que desativar a herança primeiro.) Se um usuário não corresponder a nenhuma regra de ACL, a ação padrão será Negar. Portanto, se você apenas atribuir CREATOR OWNER aos direitos desejados na pasta pai e impedir que a entrada Usuários Autenticados se aplique aos arquivos, somente a pessoa que criar um arquivo terá acesso a ele.

Observe também que CREATOR OWNER não é realmente uma pessoa; sua entrada em uma pasta é substituída por uma específica do usuário quando esse usuário cria um arquivo nessa pasta. Isso só acontece uma vez; não é uma coisa dinâmica que sempre faz referência ao proprietário.

Outras leituras: Permissões NTFS, Parte 2

    
por 26.02.2016 / 17:20