我知道,AD中的一些属性被归类为个人信息,有些被归类为公共信息(请参阅“属性集”列 – http://www.kouti.com/tables/userattributes.htm )。
我的问题是,当用户从特定的计算机login时,如何使用这些信息来隐藏这些属性。 如果你打算在公共区域安装一台计算机,我认为这将是对数据泄露的额外保护。 如果机器受到威胁,这应该限制可以从AD转储的数据量。
我不想根据用户帐户限制对这些属性的访问,我只想限制对来自特定计算机的属性“个人信息”的访问。
如果用户当前有权读取这些属性,并且希望阻止他们仅在某些位置读取这些属性,那么我认为唯一能做的就是使用FAS(Filtered Attribute Set,过滤属性集)的RODC。
http://technet.microsoft.com/en-us/library/cc753459%28v=ws.10%29.aspx
你会做的是设置一个只读域控制器,并让这些公共机器只指向该DC。 然后,您可以扩展默认的“过滤属性集”以包含您希望隐藏的属性(标记为保密)。 这将阻止这些属性在RODC上可读。
这实际上被列为RODC的好处之一。
http://technet.microsoft.com/en-us/library/cc770320%28v=ws.10%29.aspx
可能还有其他方法,但我不太确定,我只是这里的新人。
你必须根据用户帐户来限制它,那就是根据属性集“个人信息”而不是计算机对象来“读取”这个信息的帐户对象。
如果你想限制计算机暴露于AD的信息,根据你的“把它放在公共区域”,那么你最好离开未join域的计算机,并使用本地身份validation。 它仍然可以通过RUNAS或RemoteApps或类似的东西访问企业资源,使计算机能够访问所需的资源。