作为我们的Server 2003域的一个新的ADpipe理员,最近引起了我的注意,任何经过身份validation的用户都可以在我们的任何域成员机器上运行DSQuery和DSGet。 他们甚至可以从USB驱动器运行它。 我需要configuration活动目录来限制DSQuery和DSGet到特定的安全组,但到目前为止还没有发现这种可能性的暗示。 有任何想法吗?
你想用这种方法限制他们,你想完成什么? AD中的每个用户都需要具有对AD的读取访问权限,以便查找并获取所需的身份validation和授权信息。
如果您真的只关心限制这两个程序(这不会阻止他们使用其他从LDAP读取信息的程序),则可以通过GPO阻止使用这些程序。 (用户configuration – >pipe理模板 – >系统 – >策略 – >不要运行指定的Windows应用程序)。
这听起来像试图通过默默无闻的安全措施…这是不值得的。