背景:应用程序要求创build用户对象以包含各种用户的信息。 这些用户对象只存在于其数据中,用户对象不应该能够login,访问文件或者做任何事情。 此外,由于应用程序的function,用户对象不能被禁用。
用户对象在创build时具有什么级别的访问权限(假设一个典型的具有DC和文件服务器的简单域)? 需要做些什么才能locking这些用户对象以使该访问无效?
默认情况下,用户帐户可以读取AD中大多数其他对象及其属性。 您可以通过分配较长的随机密码来最小化访问,并为这些帐户创build一个特殊的安全组。 在默认域策略中,为该组分配以下Windows权限,这些权限位于计算机configuration>策略> Windows设置>安全设置>用户权限分配:
如果将帐户标记为禁用不是选项,则可能需要testing其他帐户属性是否有效防止帐户被使用,如将帐户标记为过期(帐户标签>过期设置到期date),和/或需要智能卡。