运行 Windows Sevrer 2008 R2 且属于 Active Directory 组的计算机上的用户是否可以访问 ActiveDirectory,例如读取 DC 上的 AD 记录的属性等?
如果他们可以阅读此类信息,我该如何阻止他们这样做?
我想向用户类添加一个自定义属性,其中包含用于加密和解密的秘密。当然,这不应该向任何其他用户公开。
答案1
如果他们是服务器上的本地用户,则不会。如果他们是 AD 用户,则会出现这种情况。如果他们是本地用户,并且本地用户帐户是 AD 组的成员,则有可能。
找出答案的一种方法是使用高级安全中的有效权限。这将准确显示用户对特定项目(例如文件共享、另一个用户对象等)拥有的权限。