Nhóm bảo mật danh tính đặc biệt trong AD

Trong thư mục hoạt động có cách nào để tạo một nhóm bảo mật sử dụng một danh tính đặc biệt không? Tôi có thể giải thích lý do tại sao tôi cố gắng làm điều này nhưng gõ nó ra thì hơi khó hiểu.

Thứ mà tôi muốn kết hợp lại là một nhóm được xác thực người dùng ngoại trừ người sáng tạo chủ sở hữu.

Tôi muốn nhóm này từ chối các quyền của Người dùng được xác thực trừ khi họ có quyền CREATOR OWNER của một thư mục hoặc tệp.

Vấn đề của tôi là, vì người dùng là CREATOR OWNER cũng là Người dùng được xác thực, nếu tôi từ chối Người dùng được xác thực ghi đè các quyền Cho phép mà tôi đã đặt cho CREATOR OWNER.

Có lẽ không có cách nào để làm bất cứ điều gì như thế này mà chỉ tìm kiếm xác nhận.

Đó là không thể. Từ chối các mục luôn được ưu tiên hơn Cho phép các mục, trừ khi mục từ chối được kế thừa và mục Cho phép là rõ ràng.

Nhưng có một cách tốt hơn nhiều để thực hiện những gì bạn sẽ làm. Chỉ cần xóa mục nhập Người dùng xác thực khỏi ACL. (Trước tiên, bạn có thể phải tắt tính kế thừa.) Nếu người dùng không khớp với bất kỳ quy tắc ACL nào, hành động mặc định là Từ chối. Do đó, nếu bạn chỉ định CREATOR OWNER các quyền mong muốn trên thư mục mẹ và ngăn mục nhập Người dùng được xác thực ở đó áp dụng cho các tệp, chỉ người tạo tệp mới có quyền truy cập vào nó.

Cũng lưu ý rằng CREATOR OWNER không thực sự là một người; mục nhập của nó trên một thư mục được thay thế bằng một mục cụ thể của người dùng khi người dùng đó tạo một tệp trong thư mục đó. Điều đó chỉ xảy ra một lần; nó không phải là một thứ năng động luôn luôn tham khảo chủ sở hữu.

Đọc thêm: Quyền NTFS, Phần 2