@dshumov
Олдскул - Фигурнов форева

AD запрет на добавление в группу. Как реализовать?

Коллеги, хочу странного, прошу подсказать и направить.
Есть задача - создать группу в AD на подобии группы Domain Admins. Т.е. группу ну почти-почти Domain Admins но не совсем :) Группу создал, права все выдал, делегирование для нее сделал. Осталось одна маленькая деталюшка - сделать так, что бы члены новой группы не могли себя добавить в группу Domain Admins. Пробовал делать так:
60a63d02d9798863852184.jpeg
добавил новую группу на вкладке безопасность и дал ей Deny на Add/remove self as member
Но это не прокатывает. И я задумался, а возможно ли такое вообще? Или нужно было "отселять" группу Domain Admins в отдельную OU и запретить на эту OU делегирование новой группы и после этого уже давать ей Deny на Add/remove self as member?
В общем help me///
  • Вопрос задан
  • 75 просмотров
Пригласить эксперта
Ответы на вопрос 2
vesper-bot
@vesper-bot
Любитель файрволлов
Надо было делегацию новой группе не на весь домен выдать, а на OU с пользователями, и проблем бы не было.
Ответ написан
@Tabletko
Системный администратор
Есть ещё такая штука как restricted groups
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы