我对 AD 不太熟悉,所以想解决有关 AD 信息的问题。
我知道可以将组策略应用于 OU,从而限制访问。我想知道的是,是否可以对 OU 属性执行相同操作。
一些背景信息会有所帮助。需要将地址信息存储在 AD 中(在我看来,这是自然而然的),但出于各种原因,尽管名称之类的东西显然应该是全局可访问的,但需要对地址进行访问限制。在这种情况下,是否可以将安全性应用于 OU 属性的地址部分,或者是否必须将每个地址拆分为单独的 OU(由于地址没有身份,这种解决方案感觉很糟糕)?
答案1
组策略不是您在这里要寻找的内容 - 您要查看的是各种对象的访问权限和权限,更具体地说是您想要限制访问的那些对象的相关属性。有一篇关于 DACL 和 AD 对象\属性基础知识的好文章这里虽然它已经很老了,但它确实解释了如何修改它们。在使用这些时你应该小心——AD 中 ACL 的继承\复制行为使事情的行为与你可能习惯的 DACL 和 NTFS 有所不同,如果你犯了一个错误,你可能会破坏很多东西。