伺服器作業系統 = Windows Server 2008 R2 Std(網域控制站)
客戶端作業系統 = Windows XP & 7
每當我們將筆記型電腦/桌上型電腦新增至網域時。之後,如果用戶想要獲得某些對象/其他部門用戶的信息,例如電子郵件地址、部門、手機號碼、職位等。有什麼辦法可以保護這些資訊嗎?如果我錯了請糾正我?
答案1
那是對的。該資訊作為 LDAP 的一部分提供。您可以使用委派和修改安全權限來鎖定 AD,但我不建議這樣做。
答案2
是的,Active Directory 中的預設安全權限允許所有使用者(包括其他使用者)讀取目錄中物件的大部分屬性。
如果需要刪除該功能才能滿足您的業務安全要求,那麼遺憾的是,這並不像修改敏感使用者所在的 OU/容器的權限那麼容易。授予對這些屬性的讀取存取權的權限實際上並不是從其容器繼承的。它們在創建時直接設置在物件上。
為了改變這一點,您需要編輯 AD 架構並根據您的安全性需求修改使用者類別的預設安全 ACL。可以肯定的是,這是一項敏感的操作。但與其他架構變更不同,它是完全可逆的(只需將權限變更回來)。
它也不會追溯影響已經存在的使用者。您需要事後返回並使用類似的工具dsacls將使用者從架構重設為其預設安全權限。
請記住,許多存取 Active Directory 的應用程式將假定存在預設安全權限,如果無法讀取這些使用者屬性,則可能會以奇怪的方式失敗。因此,請確保任何需要存取的應用程式都使用已被授予明確存取權限的憑證運行,以讀取它們關心的屬性。