我们的电话系统能够通过LDAP加载电话簿,但仅支持非SSL。
因此,我打算设置一个只能访问我们的Active Directory LDAP数据库的帐户,最好只有电话簿(全名,电话号码等)所需的两个或三个字段。
这些LDAPlogin细节以纯文本forms存储在电话中(因为它是非SSL全部以纯文本forms传输的),所以我对这种方式的安全性非常谨慎,而且它超出了权限types,以前必须在Windows中设置。
那么,如何为Windows用户帐户分配权限才允许LDAP访问,并且只允许访问LDAP查询中的特定属性?
你会碰到这样一个事实,即Active Directory中的默认权限相对于“Authenticated Users”是一个相当宽容的事实,任何你创build的用户都将成为“组”。 默认情况下,目录的域分区的顶部存在“Authenticated Users / Read”。
试图改变这些默认权限将是有问题的,如果你想保持与微软(“支持”(以及所有的一切工作,如你所料))。
如果您真的想严格限制访问权限,您将有更好的运气将数据从AD复制到另一个LDAP目录(例如Active Directory轻型目录服务(AD LDS)或OpenLDAP),比Active Directory具有更多的限制性权限默认。
您可能能够find一个LDAP代理来执行相同的操作。 有一些在那里,但没有我有直接的经验,我可以担保。