사용자가 자신이 구성원이 아닌 그룹의 구성원을 조회하지 못하도록 해야 합니다.
예를 들어,
Bob은 GroupA에 속하지만 GroupB에는 속하지 않습니다. 따라서 Bob이 AD의 속성을 보면 GroupA의 모든 구성원은 볼 수 있지만 GroupB의 구성원은 볼 수 없습니다.
이는 IADsGroup.IsMember를 사용하여 그룹을 열거하는 소프트웨어에 대한 QA 테스트의 일부입니다. 그룹 권한이 올바른 경우 호출 결과는 예외이지만 AD 조건을 복제하여 해당 예외를 생성할 수는 없습니다.
답변1
예.
다른 사람이 엿볼 수 없도록 그룹 개체에 대한 권한을 수정해야 합니다.
이를 수행하는 한 가지 방법은 Active Directory 사용자 및 컴퓨터에 있습니다. "고급 기능 보기"가 켜져 있는지 확인하세요. 이제 각 보안 그룹 개체의 보안 설정을 볼 수 있습니다. "인증된 사용자"에게는 기본적으로 읽기 권한이 있습니다. 모든 인증된 사용자가 그룹 개체에서 읽을 수 없도록 하려면 이를 변경해야 합니다.
여기에는 원하는 방식으로 구현하기 위한 권한 설계 전략이 포함됩니다. 계획을 세워야 하며, 항상 그렇듯이 AD 개체에서 이와 같은 기본 설정을 수정하는 데 주의하시기 바랍니다. URLT 이벤트를 발생시키지 마세요. (이력서 업데이트, 마을 떠나기)
편집: 특정 시나리오에 대해 좀 더 자세히 설명하겠습니다. GroupB의 ACL에 GroupA를 추가하고 읽기 권한에 대해 거부를 확인하는 것을 고려할 수 있습니다. 거부는 항상 허용 권한보다 우선하므로 GroupB 개체에서 읽는 GroupA의 기능을 효과적으로 중지해야 합니다.