作为我们 Server 2003 域的新 AD 管理员,我最近注意到,任何经过身份验证的用户都可以在我们的任何域成员计算机上运行 DSQuery 和 DSGet。他们甚至可以从 USB 驱动器运行它。我需要配置 Active Directory 以将 DSQuery 和 DSGet 限制到特定的安全组,但到目前为止还没有发现这种可能性。有什么想法吗?
答案1
您想通过这种方式限制他们实现什么目的? AD 中的每个用户都需要具有对 AD 的读取权限,以便可以进行查找并获取所需的身份验证和授权信息。
如果您真的只是关心限制这两个程序(这不会阻止它们使用从 LDAP 读取信息的其他程序),您可以通过 GPO 阻止使用这些程序。(用户配置 -> 管理模板 -> 系统 -> 策略 -> 不运行指定的 Windows 应用程序)。
这听起来确实像是试图通过隐秘的方式来实现安全性……但这不值得。