在运行Windows Sevrer 2008 R2并且是Active Directory组成员的计算机上,用户是否可以访问ActiveDirectory,例如读出DC上的ADlogging等属性?
如果他们能阅读这些信息,我怎么能阻止他们这样做呢?
我想向包含用于encryption和解密的秘密的用户类添加一个自定义属性。 这当然不会被其他用户所公开。
如果他们是服务器上的本地用户,则不。 如果他们是AD用户,那么是的。 如果他们是本地用户,并且本地用户帐户是AD组的成员,则可能。
找出的一种方法是在高级安全性中使用有效的权限。 这将显示用户对特定项目(例如文件共享,其他用户对象等)的准确权限。