活动目录功能级别“Windows Server 2008 R2”
我想对除相关组成员之外的所有经过身份验证的用户隐藏“成员”。
我以为“SELF”会对此有所帮助,但它似乎没有起到作用。以下是测试设置:
OU“测试员”组“TestGroup”
两个用户,一个管理员用户和一个非管理员(TestUser)。
我在 Tester OU 中创建了 TestGroup。我将 TestUser 添加为该组的成员。
在 OU 级别,我添加“拒绝、经过身份验证的用户、读取成员”。
我测试并且 TestUser 看不到任何成员(预期)。
在 TestGroup 上我添加了“允许、SELF、读取成员”。
我测试并且 TestUser 看不到任何成员(不符合预期)。
接下来在 TestGroup 上我添加“允许、TestUser、读取成员”。
我测试并且 TestUser 可以看到成员(预期)。
我的下一个测试是在 TestGroup 上,我添加了“Allow, TestGroup , Read Members”。然后我删除了“Allow, TestUser, Read Members”规则。
我进行测试,但 TestUser 无法看到成员(这是意料之中的,因为我认为这与 SELF 相同)。
看来,为了查看某个组的成员,相关用户必须获得另一个组(不是相关组)(或用户本身)的权限才能读取成员。这是真的吗?
答案1
经过多次测试和反复思考后,我找到了答案。答案非常简单而且合理。