Nous avons des situations dans lesquelles je souhaite conserver un compte AD actif pour des raisons juridiques, pour l'accès aux données de paie personnelles uniquement. Nous aimerions bloquer l'accès à tout le reste, y compris au courrier électronique de l'utilisateur, tout en maintenant la boîte aux lettres active.
Bien que je puisse faire certaines choses manuellement pour y parvenir, je souhaiterais l’automatiser partiellement. J'ai créé un groupe AD avec l'intention d'ajouter des utilisateurs à cela avec certaines autorisations de refus dans Exchange et AD. AD est acceptable car j'ai un objet de stratégie de groupe qui refuse l'accès à des membres du groupe.
Pour Exchange, j'ai exécuté ce qui suit:
Get-MailboxDatabase -Identity "DB01" | Add-ADPermission -User "DOMAIN\DenyGroup" -AccessRights ExtendedRight -ExtendedRights Receive-As -Deny
Le résultat de ceci pour l'utilisateur particulier est:
Get-MailboxPermission BadUser
User AccessRights IsInherited Deny
---- ------------ ----------- ----
NT AUTHORITY\SELF {FullAccess, ReadPermission} False False
DOMAIN\Administrator {FullAccess} True True
DOMAIN\Domain Admins {FullAccess} True True
DOMAIN\Enterprise A... {FullAccess} True True
DOMAIN\Organization... {FullAccess} True True
DOMAIN\DenyGroup {FullAccess} True True
NT AUTHORITY\SYSTEM {FullAccess} True False
NT AUTHORITY\NETW... {ReadPermission} True False
Comme on peut le constater, le groupe Deny (dont l'utilisateur est membre) se voit refuser l'accès FullAccess à la boîte aux lettres, mais l'utilisateur peut toujours accéder au courrier électronique via OWA. Je sais que NT AUTHORITY \ SELF {FullAccess, ReadPermission} existe toujours, mais j’espérais pouvoir le faire fonctionner de manière à ce que je n’aie pas à bidouiller cela et que le refus prenne la priorité.
Existe-t-il une forme de priorité en ce qui concerne les autorisations héritées et les autorisations appliquées au niveau de l'objet local? J'aurais pensé qu'un refus explicite remplacerait n'importe quoi.