서버 OS = Windows Server 2008 R2 Std(도메인 컨트롤러)
클라이언트 OS = Windows XP & 7
도메인에 노트북/데스크탑을 추가할 때마다. 그 후 사용자가 이메일 주소, 부서, 휴대폰 번호, 직위 등과 같은 특정 개체/다른 부서 사용자 정보를 알고 싶다면 LDAP 쿼리를 실행하여 쉽게 얻을 수 있습니까? 그러한 정보를 보호할 수 있는 방법이 있나요? 내가 틀렸다면 정정해주세요.
답변1
맞아요. 해당 정보는 LDAP의 일부로 제공됩니다. 위임을 사용하고 보안 권한을 수정하여 AD를 잠글 수 있지만 권장하지는 않습니다.
답변2
예, Active Directory의 기본 보안 권한은 모든 사용자에게 다른 사용자를 포함하여 디렉터리에 있는 개체의 대부분의 특성에 대한 읽기 액세스 권한을 부여합니다.
비즈니스의 보안 요구 사항을 충족하기 위해 해당 기능을 제거해야 하는 경우 안타깝게도 중요한 사용자가 있는 OU/컨테이너에 대한 권한을 수정하는 것만큼 쉽지 않습니다. 해당 속성에 대한 읽기 액세스 권한을 부여하는 권한은 실제로 해당 컨테이너에서 상속되지 않습니다. 생성 시 객체에 직접 설정됩니다.
이를 변경하려면 AD 스키마를 편집하고 사용자 클래스의 기본 보안 ACL을 보안 요구 사항에 맞게 수정해야 합니다. 확실히 민감한 작업입니다. 그러나 다른 스키마 변경과 달리 완전히 되돌릴 수 있습니다(권한을 다시 변경하면 됩니다).
또한 이미 존재하는 사용자에게 소급 적용되지 않습니다. 사실 이후로 돌아가서 다음과 같은 도구를 사용해야 합니다.dsacls사용자를 스키마의 기본 보안 권한으로 재설정합니다.
Active Directory에 액세스하는 많은 응용 프로그램은 기본 보안 권한이 존재한다고 가정하고 해당 사용자 속성을 읽을 수 없으면 이상한 방식으로 실패할 수 있다는 점을 명심하십시오. 따라서 액세스가 필요한 모든 애플리케이션이 관심 있는 속성을 읽을 수 있도록 명시적인 액세스 권한이 부여된 자격 증명을 사용하여 실행되고 있는지 확인하십시오.