Проблема безопасности для запроса LDAP

Это верно. Эта информация доступна как часть LDAP. Вы можете заблокировать AD с помощью делегирования и изменения прав безопасности, однако я бы не рекомендовал этого.

Да, разрешения безопасности по умолчанию в Active Directory предоставляют всем пользователям доступ на чтение большинства атрибутов объектов в каталоге, включая других пользователей.

Если удаление этой возможности необходимо для удовлетворения требований безопасности вашего бизнеса, к сожалению, это не так просто, как изменение разрешений на OU/контейнер, где находятся ваши конфиденциальные пользователи. Разрешения, которые предоставляют доступ на чтение к этим атрибутам, на самом деле не наследуются от их контейнера. Они устанавливаются непосредственно на объекте во время создания.

Чтобы это изменить, вам нужно отредактировать схему AD и изменить ACL безопасности по умолчанию для класса пользователя на то, что требуют ваши требования безопасности. Это, конечно, чувствительная операция. Но в отличие от других изменений схемы, она полностью обратима (просто верните разрешения обратно).

Это также не будет иметь обратной силы для пользователей, которые уже существуют. Вам нужно будет вернуться назад и использовать инструмент, напримерdsaclsдля сброса пользователей к их разрешениям безопасности по умолчанию из схемы.

Имейте в виду, что многие приложения, которые получают доступ к Active Directory, предполагают, что существуют разрешения безопасности по умолчанию, и могут давать сбои странным образом, если они не могут прочитать эти атрибуты пользователя. Поэтому убедитесь, что все приложения, которым нужен доступ, работают с учетными данными, которым был предоставлен явный доступ для чтения атрибутов, которые им нужны.