服务器操作系统= Windows Server 2008 R2标准(域控制器)
客户端OS = Windows XP&7
每当我们将笔记本电脑/桌面添加到域。 之后,如果用户想要获得某些对象/其他部门用户的信息,例如电子邮件地址,部门,手机号码,职称等信息,他可以很容易地通过运行LDAP查询获得正确的信息吗? 有没有办法保护这些信息? 如果我错了,请纠正我?
那是对的。 该信息作为LDAP的一部分提供。 您可以使用委托lockingAD并修改安全权限,但我不会推荐它。
是的,Active Directory中的默认安全权限使所有用户都可以读取包括其他用户在内的目录中的大部分属性。
如果需要移除该function来满足业务的安全需求,不幸的是,修改敏感用户所在的OU /容器的权限并不那么容易。 授予对这些属性的读取权限的权限实际上并不从其容器inheritance。 它们在创build时直接设置在对象上。
为了改变这种情况,您需要编辑AD架构并修改用户类的默认安全ACL,以满足您的安全需求。 可以肯定这是一个敏感的操作。 但是与其他模式更改不同,它是完全可逆的(只需更改权限)。
它也不会追溯性地影响已经存在的用户。 在事实发生之后,您需要返回并使用像dsacls这样的工具将用户重置为默认安全权限。
请记住,许多访问Active Directory的应用程序将假定存在默认的安全权限,如果不能读取这些用户属性,可能会以奇怪的方式失败。 因此,请确保任何需要访问的应用程序都使用已被授予显式访问权限的凭据来运行,以读取他们所关心的属性。