windows-server-2008 – Server2k8：根据另一个组中的成员身份阻

安全组没有ACL机制来控制添加哪些成员,只有谁可以修改成员资格.你得到的是一个有趣的难题.在文件系统领域,动态访问控制(DAC)可以轻松解决您遇到的问题,但类似于DAC的布尔组成员身份功能不适用于特权.

不幸的是,你最好的选择是编写脚本.您可能会编写一个接收change notifications的脚本,使其接近实时运行,而不是按设定的时间表运行.

有螺栓固定的AD管理系统可以做你想要的.它们的工作原理是将组成员身份更改限制为仅限AD管理系统的安全上下文,从而强制您使用管理系统本身来执行组成员身份更改.

对于这一组,你也可以嘲笑自己这样的事情.您可以将“受限制”组上的成员资格更改限制为特定安全上下文,然后在该上下文中运行脚本以更改成员资格.

有没有一个很好的机会,像你这样可以创造漏洞的东西？是的,一点没错！如果你选择做这样的事情,要小心.