Функциональный уровень Active Directory "Windows Server 2008 R2"
Я хотел бы скрыть «Участников» от всех аутентифицированных пользователей, за исключением членов соответствующей группы.
Я предполагал, что "SELF" поможет в этом, но, похоже, это не сработало. Вот тестовая установка:
Группа ОУ "Тестер" "TestGroup"
Два пользователя: один администратор и один не администратор (TestUser).
Я создаю TestGroup в OU Tester. Я добавляю TestUser в качестве члена группы.
На уровне OU я добавляю «Запретить, Аутентифицированные пользователи, Чтение участников».
Я тестирую, и TestUser не видит ни одного участника (ожидается).
В TestGroup я добавляю «Разрешить, SELF, Чтение членов».
Я тестирую, и TestUser не видит ни одного участника (не ожидалось).
Далее в TestGroup я добавляю «Разрешить, TestUser, Чтение участников».
Я тестирую, и TestUser может видеть участников (ожидается).
Мой следующий тест на TestGroup я добавляю "Allow, TestGroup, Read Members". Затем я удаляю правило "Allow, TestUser, Read Members".
Я тестирую, и TestUser не видит участников (что и ожидалось, поскольку я предполагаю, что это то же самое, что и SELF).
Похоже, что для того, чтобы увидеть участников группы, пользователь должен иметь разрешение от другой группы (не от группы) (или от самого пользователя) на чтение участников. Это правда?
решение1
После долгих испытаний и головокружений я понял ответ. Он довольно прост и имеет смысл.