Active Directory 機能レベル「Windows Server 2008 R2」
問題のグループのメンバーを除くすべての認証済みユーザーに対して「メンバー」を非表示にしたいと思います。
「SELF」が役に立つだろうと予想しましたが、どうやらうまくいかないようです。テストの設定は次のとおりです。
OU「テスター」グループ「TestGroup」
ユーザーは 2 人、1 人は管理者ユーザー、もう 1 人は非管理者ユーザー (TestUser)。
Tester OU に TestGroup を作成します。グループのメンバーとして TestUser を追加します。
OU レベルで、「拒否、認証済みユーザー、メンバーの読み取り」を追加します。
テストしたところ、TestUser はメンバーを表示できません (予想どおり)。
TestGroup に「Allow、SELF、Read Members」を追加します。
テストしたところ、TestUser はメンバーを表示できません (予想外です)。
次に、TestGroup に「Allow、TestUser、Read Members」を追加します。
テストすると、TestUser はメンバーを表示できます (予想どおり)。
次のテストは TestGroup で、「Allow、TestGroup、Read Members」を追加します。次に、「Allow、TestUser、Read Members」ルールを削除します。
テストしたところ、TestUser はメンバーを表示できません (これは SELF と同じであると想定しているため、予想どおりです)。
グループのメンバーを表示するには、問題のユーザーが (問題のグループではない) 別のグループ (またはユーザー自身) からメンバーの読み取り権限を取得する必要があるようです。これは本当ですか?
答え1
何度もテストして頭を悩ませた後、私は答えに気づきました。それは非常に単純で、理にかなっています。