ユーザーが、自分がメンバーではないグループのメンバーシップを検索できないようにする必要があります。
例えば、
Bob はグループ A には属していますが、グループ B には属していません。そのため、Bob が AD 内のプロパティを表示すると、グループ A のメンバーはすべて表示されますが、グループ B のメンバーは表示されません。
これは、IADsGroup.IsMember を使用してグループを列挙するソフトウェアの QA テストの一部です。グループのアクセス許可が正しい場合にこれを呼び出した場合の出力は例外ですが、その例外を生成する AD 条件を再現することはできません。
答え1
はい。
他のユーザーが覗き見できないようにしたいグループ オブジェクトの権限を変更する必要があります。
これを行う 1 つの方法は、Active Directory ユーザーとコンピューターを使用することです。[高度な機能の表示] がオンになっていることを確認します。これで、各セキュリティ グループ オブジェクトのセキュリティ設定を表示できます。[認証済みユーザー] には、既定で読み取り権限があることに注意してください。すべての認証済みユーザーがグループ オブジェクトから読み取りできるようにしたくない場合は、これを変更する必要があります。
希望どおりに実装するには、権限設計戦略が必要になります。計画を立てる必要があり、いつものように、AD オブジェクトのデフォルト設定を変更するときは注意してください。URLT イベントが発生しないようにしてください。(履歴書を更新して町を離れる)
編集: では、あなたの特定のシナリオについてもう少し詳しく説明します。GroupA を GroupB の ACL に追加し、読み取り権限の Deny をチェックすることを検討してください。Deny は常に Allow 権限よりも優先されるため、GroupA が GroupB オブジェクトから読み取る能力を効果的に停止するはずです。