Preocupación de seguridad para la consulta LDAP

Eso es correcto. Esa información está disponible como parte de LDAP. Podrías bloquear AD usando la delegación y modificando los derechos de seguridad, sin embargo, no lo recomendaría.

Sí, los permisos de seguridad predeterminados en Active Directory otorgan a todos los usuarios acceso de lectura a la mayoría de los atributos de los objetos del directorio, incluidos otros usuarios.

Si es necesario eliminar esa capacidad para satisfacer los requisitos de seguridad de su empresa, desafortunadamente no es tan fácil como modificar los permisos en la unidad organizativa/contenedor donde se encuentran sus usuarios confidenciales. Los permisos que otorgan acceso de lectura a esos atributos en realidad no se heredan de su contenedor. Se establecen directamente en el objeto en el momento de la creación.

Para cambiar eso, debe editar el esquema de AD y modificar la ACL de seguridad predeterminada en la clase de usuario según lo que exijan sus requisitos de seguridad. Es una operación delicada, sin duda. Pero a diferencia de otros cambios de esquema, es completamente reversible (simplemente vuelva a cambiar los permisos).

Tampoco afectará retroactivamente a los usuarios que ya existen. Tendrás que regresar después del hecho y usar una herramienta comodsaclspara restablecer los usuarios a sus permisos de seguridad predeterminados desde el esquema.

Tenga en cuenta que muchas aplicaciones que acceden a Active Directory asumirán que existen los permisos de seguridad predeterminados y pueden fallar de maneras extrañas si no pueden leer esos atributos de usuario. Por lo tanto, asegúrese de que cualquier aplicación que necesite acceso se esté ejecutando con credenciales a las que se les haya otorgado acceso explícito para leer los atributos que les interesan.