サーバー OS = Windows Server 2008 R2 Std (ドメイン コントローラー)
クライアント OS = Windows XP および 7
ラップトップ/デスクトップをドメインに追加するたびに、その後、ユーザーが特定のオブジェクト/他の部門のユーザー情報(電子メール アドレス、部門、携帯電話番号、役職など)を取得したい場合、LDAP クエリを実行することで簡単に取得できます。このような情報を保護する方法はありますか? 間違っていたら訂正してください。
答え1
正解です。その情報は LDAP の一部として利用できます。委任とセキュリティ権限の変更を使用して AD をロックダウンすることもできますが、お勧めしません。
答え2
はい、Active Directory のデフォルトのセキュリティ権限では、他のユーザーを含むディレクトリ内のオブジェクトの属性の大部分に対する読み取りアクセス権がすべてのユーザーに与えられます。
ビジネスのセキュリティ要件を満たすためにその機能を削除する必要がある場合、残念ながら、機密性の高いユーザーが配置されている OU/コンテナの権限を変更するほど簡単ではありません。これらの属性への読み取りアクセスを許可する権限は、実際にはコンテナから継承されるわけではありません。作成時にオブジェクトに直接設定されます。
これを変更するには、AD スキーマを編集し、ユーザー クラスの既定のセキュリティ ACL をセキュリティ要件に応じて変更する必要があります。これは確かに機密性の高い操作です。ただし、他のスキーマ変更とは異なり、完全に元に戻すことができます (アクセス許可を元に戻すだけです)。
また、既存のユーザーに遡及的に影響することはありません。事後に戻って、次のようなツールを使用する必要があります。dsaclsユーザーをスキーマのデフォルトのセキュリティ権限にリセットします。
Active Directory にアクセスする多くのアプリケーションは、デフォルトのセキュリティ権限が存在すると想定しており、それらのユーザー属性を読み取れない場合は異常なエラーが発生する可能性があることに留意してください。そのため、アクセスを必要とするアプリケーションは、必要な属性を読み取るための明示的なアクセス権が付与された資格情報を使用して実行されていることを確認してください。