Active Directory 功能等級“Windows Server 2008 R2”
我想對除相關群組的成員之外的所有經過身份驗證的使用者隱藏「成員」。
我認為“SELF”會對此有所幫助,但它似乎並沒有起到作用。這是測試設定:
OU“測試人員”群組“TestGroup”
兩名用戶,一名管理員用戶和一名非管理員用戶 (TestUser)。
我在測試器 OU 中建立測試組。我將 TestUser 新增為該組的成員。
在 OU 級別,我新增「拒絕、經過身份驗證的使用者、讀取成員」。
我進行測試,TestUser 看不到任何成員(預期)。
在 TestGroup 上,我新增「允許、SELF、讀取成員」。
我測試並且 TestUser 看不到任何成員(不是預期的)。
接下來,我在 TestGroup 上新增「允許、TestUser、讀取成員」。
我測試並 TestUser 可以看到成員(預期)。
我的下一個測試是在 TestGroup 上,我添加「允許,TestGroup,讀取成員」。然後我刪除「允許、測試使用者、讀取成員」規則。
我進行測試,TestUser 看不到成員(預計我認為這與 SELF 相同)。
看來,為了查看某個群組的成員,相關使用者必須擁有另一個群組(不是相關群組)(或使用者本身)的權限才能讀取成員。這是真的?