Nível funcional do Active Directory "Windows Server 2008 R2"
Gostaria de ocultar "Membros" de todos os usuários autenticados, exceto dos membros do grupo em questão.
Presumi que "SELF" ajudaria com isso, mas não parece funcionar. Aqui está a configuração do teste:
UO "Testador" Grupo "TestGroup"
Dois usuários, um usuário administrador e um não administrador (TestUser).
Eu crio TestGroup na UO Tester. Eu adiciono TestUser como membro do grupo.
No nível da UO, adiciono "Negar, usuários autenticados, ler membros".
Eu testo e TestUser não consegue ver nenhum membro (esperado).
No TestGroup eu adiciono "Permitir, SELF, Ler Membros".
Eu testo e TestUser não consegue ver nenhum membro (não esperado).
Em seguida, no TestGroup, adiciono "Allow, TestUser, Read Members".
Eu testo e TestUser pode ver os membros (esperado).
Meu próximo teste é no TestGroup. Adiciono "Allow, TestGroup, Read Members". Em seguida, removo a regra "Permitir, TestUser, Ler membros".
Eu testo e TestUser não consegue ver os membros (esperado, pois presumo que seja o mesmo que SELF).
Parece que, para ver os membros de um grupo, o usuário em questão deve ter permissão de outro grupo (não do grupo em questão) (ou do próprio usuário) para ler os membros. Isso é verdade?
Responder1
Depois de muitos testes e batidas de cabeça, percebi a resposta. É bastante simples e faz sentido.