服务器操作系统 = Windows Server 2008 R2 Std(域控制器)
客户端操作系统 = Windows XP 和 7
每当我们将笔记本电脑/台式机添加到域中时。之后,如果用户想要获取某些对象/其他部门用户的信息,例如电子邮件地址、部门、手机号码、职位等。他可以通过运行 LDAP 查询轻松获取,对吗?有什么方法可以保护这些信息吗?如果我错了,请纠正我?
答案1
没错。该信息是 LDAP 的一部分。您可以使用委派和修改安全权限来锁定 AD,但我不建议这样做。
答案2
是的,Active Directory 中的默认安全权限授予所有用户(包括其他用户)对目录中对象的大多数属性的读取权限。
如果为了满足企业的安全要求而必须删除该功能,那么很遗憾,这并不像修改敏感用户所在的 OU/容器上的权限那么简单。授予对这些属性的读取访问权限的权限实际上并非从其容器继承而来。它们是在创建时直接在对象上设置的。
为了改变这种情况,您需要编辑 AD 架构并修改用户类别的默认安全 ACL,以满足您的安全要求。这肯定是一项敏感操作。但与其他架构更改不同,它是完全可逆的(只需将权限改回来)。
它也不会追溯影响已经存在的用户。你需要事后再使用类似dsacls将用户重置为架构中的默认安全权限。
请记住,许多访问 Active Directory 的应用程序会假定默认安全权限存在,如果它们无法读取这些用户属性,可能会以奇怪的方式失败。因此,请确保任何需要访问权限的应用程序都在使用已获得明确访问权限的凭据运行,以读取它们关心的属性。