在从 Samba 4 管理的 Active Directory 中,我必须绑定一些应用程序以让它使用和从 Active Directory 中选择用户和组。
为此,我通常使用属于域管理员组的专用用户。
但是...我不想为此创建如此强大的用户!
有没有办法创建一个非特权用户:
- 可以浏览 Active Directory 以进行应用程序绑定目的
- 不属于域管理员组
- 无法在任何客户端上登录
- 只能从运行该应用程序的服务器上使用
?
答案1
任何授权的(LDAP 绑定操作后)Acrive Directory 域用户默认都可以搜索域中的其他用户。它适合您的任务。
我指的是在任何域用户下都存在授权搜索的可能性。尽管如此,我并不只面对编写糟糕的应用程序(包括企业应用程序)——对于这样的应用程序,我必须单独处理。
我们还应该强调诸如 samba(或包含 samba)之类的应用程序 - 它们只需要执行域加入操作的域管理员凭据 - 这些凭据不会存储并且只使用一次。
不幸的是,您无法限制域用户可以执行 LDAP 绑定的主机。但您可以使用域策略禁止此类交互式登录用户在域中的 Windows 计算机上登录:
- 将这些用户添加到某个组,例如“服务帐户”
- 转到 GPO
Computer Configuration/ Windows Settings/Security Settings/Local Policies/User Rights Assignment
将“服务帐户”安全组添加到Deny log on locally
并Deny log on through Terminal Services
- 将创建的 GPO 应用到您想要拒绝登录的所有域成员 Windows 主机。