Preciso impedir que os usuários procurem membros de grupos dos quais não são membros.
Então, por exemplo,
Bob está no GrupoA, mas não no GrupoB; portanto, se Bob olhasse as propriedades no AD, ele veria todos os membros do GrupoA, mas não os membros do GrupoB.
Isso faz parte de um teste de controle de qualidade para software que enumera grupos usando IADsGroup.IsMember. A saída de chamar isso se as permissões do grupo estiverem corretas é uma exceção, mas não consigo replicar as condições do AD para gerar essa exceção.
Responder1
Sim.
Você terá que modificar as permissões no objeto Grupo que não deseja que todos possam espiar.
Uma maneira de fazer isso é em Usuários e Computadores do Active Directory. Certifique-se de que "Exibir recursos avançados" esteja ativado. Agora você pode visualizar as configurações de segurança de cada objeto do Grupo de Segurança. Observe que "Usuários autenticados" possuem permissões de leitura por padrão. Você terá que alterar isso se não quiser que todos os usuários autenticados possam ler o objeto Grupo.
Isso envolverá uma estratégia de design de permissões para implementar isso da maneira que você deseja. Você terá que planejar as coisas e, como sempre, tenha cuidado ao modificar configurações padrão como essas em objetos AD. Não cause um evento URLT. (Atualizar currículo; sair da cidade)
Editar: Então, para elaborar um pouco mais sobre seu cenário específico. Você pode considerar adicionar o GrupoA à ACL do GrupoB e verificar Negar para o privilégio de leitura. Negar sempre tem precedência sobre as permissões Permitir, portanto isso deve efetivamente interromper a capacidade do GrupoA de ler o objeto GrupoB.