我需要阻止用户查找他们不是成员的组的成员身份。
例如,
Bob 在 GroupA 中,但不在 GroupB 中,因此,如果 Bob 查看 AD 中的属性,他会看到 GroupA 的所有成员,但不会看到 GroupB 的任何成员。
这是使用 IADsGroup.IsMember 枚举组的软件 QA 测试的一部分。如果组权限正确,则调用该测试的输出为异常,但我无法复制 AD 条件来生成该异常。
答案1
是的。
您将必须修改您不希望其他所有人都能查看的组对象的权限。
一种方法是在 Active Directory 用户和计算机中执行此操作。确保“查看高级功能”已打开。现在您可以查看每个安全组对象的安全设置。请注意,“经过身份验证的用户”默认具有读取权限。如果您不希望所有经过身份验证的用户都能从组对象读取,则必须更改它。
这将涉及权限设计策略,以便按照您想要的方式实施。您必须做好计划,并且一如既往,请小心修改 AD 对象上的默认设置。不要引发 URLT 事件。(更新简历;离开城镇)
编辑:因此,请更详细地阐述您的特定情况。您可以考虑将 GroupA 添加到 GroupB 的 ACL 中,并检查 Deny 以获得读取权限。Deny 始终优先于 Allow 权限,因此这应该可以有效地阻止 GroupA 从 GroupB 对象读取的能力。