Remove From My Forums

Impedire che un utente inserisca sè stesso tra i membri di un Gruppo di Sicurezza da lui gestito.

Domanda
0

Registrati per votare

Buongiorno. E' possibile impedire a un utente che ha i permessi per inserire/rimuovere membri all'interno di un Security Group in Active Directory di inserire sè stesso all'interno di tale gruppo? Ad esempio se io avessi il personale HelpDesk in grado di popolare il gruppo Amministrazione come posso evitare che qualcuno del gruppo HelpDesk inserisca sé stesso tra gli appartenenti di Amministrazione?

mercoledì 1 febbraio 2017 16:06

Risposta

|

Citazione

Risposte

0

Registrati per votare
no, non è possibile impedire che accada quanto paventi.

la strategia da applicare è dare la delega a qualcuno che possa lecitamente far parte del gruppo di sicurezza alla cui gestione è stato delegato.

ciao.
Edoardo Benussi
Microsoft MVP - Cloud and Datacenter Management
edo[at]mvps[dot]org
- Proposto come risposta Fabrizio GiammariniMVP, Moderator sabato 4 febbraio 2017 13:53
- Contrassegnato come risposta Fabrizio GiammariniMVP, Moderator giovedì 9 febbraio 2017 16:39
giovedì 2 febbraio 2017 12:05

Risposta

|

Citazione

Moderatore
0

Registrati per votare
Come dice Edoardo, se helpdesk ha il diritto di popolare il gruppo amministrazione puo' inserire anche se stesso.

Se intuisco bene, e il problema è evitare che helpdesk acceda alle risorse consentite ad amministrazione allora puoi usare la negazione, che come sai prevale sull'autorizzazione.

Helpdesk avrà i diritti sul gruppo in AD

Helpdesk sulla tab security della cartella NTFS avrà un nega. Se poi helpdesk non deve accedere a nulla puoi negargli anche l'accesso alla share...

Può andare?
- Proposto come risposta Fabrizio GiammariniMVP, Moderator sabato 4 febbraio 2017 13:52
- Contrassegnato come risposta Fabrizio GiammariniMVP, Moderator giovedì 9 febbraio 2017 16:39
venerdì 3 febbraio 2017 15:11

Risposta

|

Citazione

Tutte le risposte

0

Registrati per votare
no, non è possibile impedire che accada quanto paventi.

la strategia da applicare è dare la delega a qualcuno che possa lecitamente far parte del gruppo di sicurezza alla cui gestione è stato delegato.

ciao.
Edoardo Benussi
Microsoft MVP - Cloud and Datacenter Management
edo[at]mvps[dot]org
- Proposto come risposta Fabrizio GiammariniMVP, Moderator sabato 4 febbraio 2017 13:53
- Contrassegnato come risposta Fabrizio GiammariniMVP, Moderator giovedì 9 febbraio 2017 16:39
giovedì 2 febbraio 2017 12:05

Risposta

|

Citazione

Moderatore
0

Registrati per votare
Come dice Edoardo, se helpdesk ha il diritto di popolare il gruppo amministrazione puo' inserire anche se stesso.

Se intuisco bene, e il problema è evitare che helpdesk acceda alle risorse consentite ad amministrazione allora puoi usare la negazione, che come sai prevale sull'autorizzazione.

Helpdesk avrà i diritti sul gruppo in AD

Helpdesk sulla tab security della cartella NTFS avrà un nega. Se poi helpdesk non deve accedere a nulla puoi negargli anche l'accesso alla share...

Può andare?
- Proposto come risposta Fabrizio GiammariniMVP, Moderator sabato 4 febbraio 2017 13:52
- Contrassegnato come risposta Fabrizio GiammariniMVP, Moderator giovedì 9 febbraio 2017 16:39
venerdì 3 febbraio 2017 15:11

Risposta

|

Citazione