Tenemos que tener un atributo en Active Directory para almacenar la contraseña predeterminada de un usuario para pasar esta información a las herramientas de creación de usuarios (Google Cloud Directory Sync, etc.) para que su contraseña se establezca en la creación inicial. Creé un atributo personalizado en AD para almacenar esta información.
De forma predeterminada, todos los usuarios del dominio pueden ver este atributo si buscan lo suficiente. Intenté "Denegar" la configuración de lectura/escritura de este atributo en el grupo "Todos", pero ni siquiera los administradores de dominio (yo...) pudieron leerlo ni modificarlo.
¿Cómo puedo intentar proteger este campo? ¿Es posible? Entiendo que esto va en contra del concepto central de "directorio", pero esta es mi situación...
Respuesta1
Podría decirse que esto es un duplicado de¿Dónde almaceno datos confidenciales dentro de Active Directory?
La esencia es que necesitas crear un atributo y marcarlo como Confidencial.