我们的电话系统能够通过 LDAP 加载其电话簿,但它仅支持非 SSL。
因此,我计划建立一个帐户,仅有的有权读取我们的 Active Directory LDAP 数据库,并且最好只读取电话簿所需的两个或三个字段(全名、电话号码等)。
这些 LDAP 登录详细信息以纯文本形式存储在手机上(并且因为它是非 SSL,所以全部以纯文本传输),因此我对这种方式的安全性非常警惕,而且它有点超出了我以前必须在 Windows 中设置的权限类型。
那么,如何为 Windows 用户帐户分配权限以仅允许 LDAP 访问,以及仅允许访问 LDAP 查询中的特定属性?
答案1
您将违反以下事实:Active Directory 中的默认权限对于“经过身份验证的用户”相当宽容,“经过身份验证的用户”是您创建的任何用户都将成为其成员的“组”。默认情况下,目录的域分区顶部存在“经过身份验证的用户/读取”。
如果您希望继续获得 Microsoft 的“支持”(以及让一切按您预期的方式运行),尝试更改这些默认权限将会出现问题。
如果你真的想严格限制访问,最好将数据从 AD 复制到另一个 LDAP 目录(Active Directory 轻型目录服务 (AD LDS)或 OpenLDAP),其权限比 Active Directory 默认具有更严格的限制。
您可能能够找到 LDAP 代理来执行相同的操作。市面上有很多这样的代理,但我没有直接使用过,也无法保证其可靠性。