我需要防止使用者尋找他們不屬於的群組的成員資格。
例如,
Bob 在 GroupA 中,但不在 GroupB 中,因此,如果 Bob 查看 AD 中的屬性,他會看到 GroupA 的所有成員,但不會看到 GroupB 的成員。
這是使用 IADsGroup.IsMember 枚舉組的軟體 QA 測試的一部分。如果群組權限正確,則呼叫的輸出是一個異常,但我無法複製 AD 條件來產生該異常。
答案1
是的。
您將必須修改您不希望其他人能夠查看的群組物件的權限。
執行此操作的一種方法是在 Active Directory 使用者和電腦中。確保“查看高級功能”已開啟。現在您可以查看每個安全群組物件的安全設定。請注意,「經過身份驗證的使用者」預設具有讀取權限。如果您不希望所有經過驗證的使用者都能夠讀取 Group 對象,則必須變更該設定。
這將涉及權限設計策略來按照您想要的方式實現這一點。您必須做好計劃,並且一如既往,請小心修改預設設置,例如 AD 物件上的預設設定。不要引發 URLT 事件。 (更新簡歷;離開城鎮)
編輯:所以要詳細說明您的特定場景。您可以考慮將 GroupA 新增至 GroupB 的 ACL 中,並選取「拒絕」以取得讀取權限。拒絕始終優先於允許權限,因此這應該有效地阻止 GroupA 讀取 GroupB 物件的能力。