在从Samba 4pipe理的Active Directory中,我必须绑定某个应用程序才能使用它并从Active Directory中select用户和组。
为此,我通常使用属于Domain Admins组的专用用户。
但是…我不想为此创build一个如此强大的用户!
有什么办法可以创build一个非特权用户:
?
任何授权(在LDAP绑定操作之后)Acrive Directory域用户默认可以search域中的其他用户。 它适合你的任务。
我正在谈论在任何域用户下存在授权search的可能性。 尽pipe如此,我并不只是面对写得不好的应用程序(包括企业),因为这些应用程序必须单独处理。
我们还应该强调诸如samba(或者包含samba)的应用程序 – 他们只需要进行域连接操作所需的域pipe理员凭证 – 这些凭证不会被存储和使用一次。
不幸的是,你不能限制域用户可以执行LDAP绑定的主机。 但是你可以用域策略禁止域上的这样的交互式login用户在windose计算机上:
Computer Configuration/ Windows Settings/Security Settings/Local Policies/User Rights Assignment添加“服务帐户”安全组以Deny log on locally Deny log on through Terminal Services并Deny log on through Terminal Services