我需要防止用户查找他们不属于的组的成员。
所以例如,
Bob在GroupA中,但不在GroupB中,所以如果Bob在AD中查看属性,他将看到GroupA的所有成员,而不是GroupB的成员。
这是对使用IADsGroup.IsMember枚举组的软件进行QAtesting的一部分。 如果组权限正确的调用的输出是一个例外,但我不能复制AD条件生成该exception。
是。
您将不得不修改组对象的权限,而不希望其他人能够窥探。
一种方法是在Active Directory用户和计算机中。 确保“查看高级function”已打开。 现在您可以查看每个安全组对象的安全设置。 请注意,“Authenticated Users”默认具有“读取”权限。 如果您不希望所有经过身份validation的用户都能够从Group对象读取,则必须更改该值。
这将涉及一个权限devise策略来实现你想要的方式。 你将不得不计划的事情,一如既往,请小心修改默认设置,如这些AD对象。 不要导致一个URLT事件。 (更新简历;离开镇)
编辑:所以要详细阐述一下你的特定场景。 您可以考虑将GroupA添加到GroupB的ACL中,并检查Deny是否具有读取权限。 拒绝总是优先于允许权限,所以应该有效地阻止GroupA从GroupB对象读取的能力。