Мне нужно запретить пользователям просматривать информацию о членстве в группах, в которых они не состоят.
Так, например,
Боб входит в GroupA, но не входит в GroupB, поэтому, если бы Боб посмотрел на объекты недвижимости в AD, он бы увидел всех членов GroupA, но не увидел бы членов GroupB.
Это часть теста QA для программного обеспечения, которое перечисляет группы с помощью IADsGroup.IsMember. Вывод вызова, если разрешения для группы верны, является исключением, но я не могу воспроизвести условия AD для генерации этого исключения.
решение1
Да.
Вам придется изменить разрешения для объекта Group, к которому вы не хотите, чтобы кто-то еще мог заглянуть.
Один из способов сделать это — в Active Directory Users and Computers. Убедитесь, что «Просмотр дополнительных функций» включен. Теперь вы можете просматривать параметры безопасности каждого объекта Security Group. Обратите внимание, что «Authenticated Users» по умолчанию имеет разрешения на чтение. Вам придется изменить это, если вы не хотите, чтобы все Authenticated Users могли читать из объекта Group.
Это будет включать стратегию проектирования разрешений, чтобы реализовать это именно так, как вы хотите. Вам придется все спланировать, и, как всегда, будьте осторожны, изменяя настройки по умолчанию, такие как эти, в объектах AD. Не вызывайте событие URLT. (Обновить резюме; покинуть город)
Редактировать: Итак, чтобы немного подробнее рассмотреть ваш конкретный сценарий. Вы можете рассмотреть возможность добавления GroupA в ACL GroupB и проверки Deny для привилегии чтения. Deny всегда имеет приоритет над разрешениями Allow, так что это должно фактически остановить возможность GroupA читать из объекта GroupB.