Necesito evitar que los usuarios busquen la membresía de grupos de los que no son miembros.
Así por ejemplo,
Bob está en el Grupo A pero no en el Grupo B, por lo que si Bob mirara las propiedades en AD, vería todos los miembros del Grupo A pero ninguno de los miembros del Grupo B.
Esto es parte de una prueba de control de calidad para software que enumera grupos que utilizan IADsGroup.IsMember. El resultado de llamar a eso si los permisos del grupo son correctos es una excepción, pero no puedo replicar las condiciones de AD para generar esa excepción.
Respuesta1
Sí.
Tendrá que modificar los permisos en el objeto Grupo que no desea que todos los demás puedan ver.
Una forma de hacerlo es en Usuarios y equipos de Active Directory. Asegúrate de que "Ver funciones avanzadas" esté activado. Ahora puede ver la configuración de seguridad de cada objeto del grupo de seguridad. Tenga en cuenta que los "Usuarios autenticados" tienen permisos de lectura de forma predeterminada. Tendrá que cambiar eso si no desea que todos los usuarios autenticados puedan leer desde el objeto de grupo.
Esto implicará una estrategia de diseño de permisos para implementarlo de la manera que desee. Tendrá que planificar las cosas y, como siempre, tenga cuidado al modificar configuraciones predeterminadas como estas en los objetos AD. No provoques un evento URLT. (Actualizar currículum; salir de la ciudad)
Editar: Para elaborar un poco más sobre su escenario particular. Podría considerar agregar el GrupoA a la ACL del GrupoB y marcar Denegar para el privilegio de lectura. Denegar siempre tiene prioridad sobre Permitir permisos, por lo que eso debería detener efectivamente la capacidad del GrupoA para leer desde el objeto del GrupoB.