3.4.3.2. A opção ad_gpo_implicit_deny
A opção ad_gpo_implicit_deny
está configurada para False
por padrão. Neste estado padrão, os usuários têm permissão de acesso se os GPOs aplicáveis não forem encontrados. Se você definir esta opção para True
, você deve permitir explicitamente o acesso dos usuários com uma regra de GPO.
Você pode usar este recurso para endurecer a segurança, mas tenha cuidado para não negar o acesso involuntariamente. A Red Hat recomenda testar este recurso enquanto ad_gpo_access_control
está configurado para permissive
.
As duas tabelas a seguir ilustram quando um usuário tem permissão ou recusa de acesso com base na permissão e recusa de direitos de login definidos no lado do servidor AD e no valor de ad_gpo_implicit_deny
.
regras de permissão | regras de negação | resultado |
---|---|---|
em falta | em falta | todos os usuários são permitidos |
em falta | presente | somente usuários que não estão nas regras de negação são permitidos |
presente | em falta | somente usuários em regras de permissão são permitidos |
presente | presente | somente usuários em regras de permissão e não em regras de negação são permitidos |
regras de permissão | regras de negação | resultado |
---|---|---|
em falta | em falta | nenhum usuário é permitido |
em falta | presente | nenhum usuário é permitido |
presente | em falta | somente usuários em regras de permissão são permitidos |
presente | presente | somente usuários em regras de permissão e não em regras de negação são permitidos |
Recursos adicionais
- Para o procedimento para mudar o modo de aplicação da GPO no SSSD, consulte Mudando o modo de controle de acesso da GPO.
-
Para obter mais detalhes sobre cada um dos diferentes modos de operação do GPO, consulte a entrada
ad_gpo_access_control
na páginasssd-ad(5)
do Manual.