Ich muss verhindern, dass Benutzer die Mitgliedschaft von Gruppen nachschlagen, bei denen sie nicht Mitglied sind.
So zum Beispiel
Bob ist in Gruppe A, aber nicht in Gruppe B. Wenn Bob sich also Eigenschaften in AD ansehen würde, würde er alle Mitglieder von Gruppe A sehen, aber keines der Mitglieder von Gruppe B.
Dies ist Teil eines QA-Tests für Software, die Gruppen mithilfe von IADsGroup.IsMember aufzählt. Die Ausgabe des Aufrufs, wenn die Gruppenberechtigungen korrekt sind, ist eine Ausnahme, aber ich kann die AD-Bedingungen nicht replizieren, um diese Ausnahme zu erzeugen.
Antwort1
Ja.
Sie müssen die Berechtigungen für das Gruppenobjekt ändern, auf das nicht jeder andere Zugriff haben soll.
Eine Möglichkeit hierfür ist Active Directory-Benutzer und -Computer. Stellen Sie sicher, dass „Erweiterte Funktionen anzeigen“ aktiviert ist. Jetzt können Sie die Sicherheitseinstellungen jedes Sicherheitsgruppenobjekts anzeigen. Beachten Sie, dass „Authentifizierte Benutzer“ standardmäßig Leseberechtigungen haben. Sie müssen dies ändern, wenn Sie nicht möchten, dass alle authentifizierten Benutzer aus dem Gruppenobjekt lesen können.
Dies erfordert eine Strategie für das Berechtigungsdesign, um dies genau so umzusetzen, wie Sie es möchten. Sie müssen die Dinge planen und wie immer vorsichtig sein, wenn Sie Standardeinstellungen wie diese für AD-Objekte ändern. Verursachen Sie kein URLT-Ereignis. (Lebenslauf aktualisieren; Stadt verlassen)
Bearbeiten: Um Ihr spezielles Szenario etwas genauer zu beschreiben. Sie könnten erwägen, GroupA zur ACL von GroupB hinzuzufügen und Deny für das Leserecht zu aktivieren. Deny hat immer Vorrang vor Allow-Berechtigungen, sodass GroupA effektiv daran gehindert werden sollte, aus dem GroupB-Objekt zu lesen.