有没有办法限制特定用户对 AD 的请求,以便他只能询问用户名或电子邮件地址是否存在?用户不应该能够从 AD 请求其他数据。
答案1
您可以修改 Active Directory (AD) 中的默认权限以满足此要求,但这不是特别容易或“干净”的。可以说,AD 中的默认权限非常“开放”。
为了实现您的目标,您需要在 Active Directory 中启用列表对象模式(以限制对象可见性)。您应该使用组(而不是“特定用户”)在权限中命名以授予读取电子邮件地址的权限。我认为您必须进行一些实验才能让事情按您想要的方式进行。(我现在没有临时 AD 可供我使用,我愿意使用它来为您提供分步说明。)