我知道 AD 中的某些属性被归类为个人信息,某些属性被归类为公开信息(请参阅此处的“属性集”列 -http://www.kouti.com/tables/userattributes.htm)。
我的问题是,当用户从特定计算机登录时,如何使用这些信息来隐藏这些属性。我认为如果您打算将计算机放在公共区域,这将是防止数据泄露的额外保护层。如果机器受到攻击,这应该会限制可以从 AD 转储的数据量。
我不想根据用户帐户限制对这些属性的访问,我只想限制从特定计算机访问归类为“个人信息”的属性。
答案1
如果用户当前有权读取这些属性,而您想阻止他们仅在某些位置读取这些属性,那么我能想到的唯一可能奏效的方法就是使用带有 FAS(过滤属性集)的 RODC。
http://technet.microsoft.com/en-us/library/cc753459%28v=ws.10%29.aspx
您要做的就是设置一个只读域控制器,并让这些公共计算机仅指向该 DC。然后,您可以扩展默认的筛选属性集以包含您希望隐藏的属性(标记为机密)。这将阻止这些属性在 RODC 上可读。
这实际上被列为 RODC 的优点之一。
http://technet.microsoft.com/en-us/library/cc770320%28v=ws.10%29.aspx
可能还有其他方法,但我不太确定,我只是这里的新人。
答案2
您必须根据用户帐户进行限制,即根据属性集“个人信息”而不是计算机对象来“读取”此信息的帐户对象。
如果您想根据“将其放在公共区域”来限制计算机对 AD 信息的暴露,那么最好不要将计算机加入域,而是使用本地身份验证。它仍然可以使用 RUNAS 或 RemoteApps 或类似程序访问公司资源,从而使该计算机可以访问其所需的资源。