Active Directory-Funktionsebene „Windows Server 2008 R2“
Ich möchte „Mitglieder“ vor allen authentifizierten Benutzern verbergen, mit Ausnahme der Mitglieder der betreffenden Gruppe.
Ich nahm an, dass „SELF“ dabei helfen würde, aber es scheint nicht zu funktionieren. Hier ist der Testaufbau:
OU „Tester“ Gruppe „TestGroup“
Zwei Benutzer, ein Administratorbenutzer und ein Nichtadministrator (Testbenutzer).
Ich erstelle eine Testgruppe in der Tester-OU. Ich füge TestUser als Mitglied der Gruppe hinzu.
Auf OU-Ebene füge ich „Verweigern, Authentifizierte Benutzer, Mitglieder lesen“ hinzu.
Ich teste und TestUser kann (erwartungsgemäß) keine Mitglieder sehen.
Bei TestGroup füge ich „Allow, SELF, Read Members“ hinzu.
Ich teste und TestUser kann keine Mitglieder sehen (nicht erwartet).
Als nächstes füge ich bei TestGroup „Allow, TestUser, Read Members“ hinzu.
Ich teste und TestUser kann die Mitglieder sehen (erwartet).
Mein nächster Test ist auf TestGroup. Ich füge „Allow, TestGroup, Read Members“ hinzu. Dann entferne ich die Regel „Allow, TestUser, Read Members“.
Ich teste und TestUser kann die Mitglieder nicht sehen (erwartet, da ich davon ausgehe, dass dies dasselbe wie SELF ist).
Es scheint, dass der betreffende Benutzer, um die Mitglieder einer Gruppe sehen zu können, die Berechtigung einer anderen Gruppe (nicht der betreffenden Gruppe) (oder des Benutzers selbst) zum Lesen der Mitglieder benötigt. Stimmt das?
Antwort1
Nach vielen Tests und Kopfzerbrechen ist mir die Antwort klar geworden. Sie ist ganz einfach und macht Sinn.