Czy da się zablokować grupę?

Podczas codziennej administracji czesto pojawia sie potrzeba zablokowania konta uzytkownika. Podstawowym scenariuszem jest sytuacja, gdy osoba odchodzi z pracy a przez jakis konto musi zostac na wypadek, gdyby trzeba bylo uzyskac dostep do danych jako dokladnie ten uzytkownik.

Czasem jednak przydalby sie mechanizm zablokowania grupy. Prosty scenariusz: “czy ta grupa jest jeszcze potrzebna”? Usuniecie jest zbyt niebezpieczne, a konsekwencje trudne do przewidzenia. Nie ma niestety mechanizmu, pozwalajace na wydanie zapytania “sprawdz czy gdzies ta grupa ma nadane uprawnienia” – owszem, da sie to w pewnym stopniu oskryptowac, ale biorac pod uwage ilosc miejsc, w których mozna nadac uprawnienia, razy ilosc wszystkich komputerów – taki skan trwalby wieki i nie dal 1oo% wyników.

Oczywiscie nie ma opcji ‘zablokuj grupe’ w AD, ale mozna wykorzystac do tego celu fakt, iz deskryptory SID grup dystrybucyjnych nie sa dodawane do tokena uwierzytelniajacego. Artykuly na technecie nie sa w tej kwestii zbyt doslowne:

• Active Directory Users, Computers, and Groups
• Understanding User and Group Accounts

poniewaz jest tam taka informacja:

“[…]They can't have security descriptors associated with them.[…]” czyli “grupy te nie maja deskryptorów bezpieczenstwa”, co mozna zrozumiec tak, iz nie maja swoje SID. A maja. I podczas zmiany typu grupy z “security” na “distribution” nie jest on usuwany.

Wniosek prosty: aby sprawdzic czy grupa jest uzywana, mozna zmienic jej typ na “distribution”… i czekac, trzymajac kciuki.

Autor: nExoR