Active Directory（Samba）LDAP 绑定用户

Question

任何授权的（LDAP 绑定操作后）Acrive Directory 域用户默认都可以搜索域中的其他用户。它适合您的任务。

我指的是在任何域用户下都存在授权搜索的可能性。尽管如此，我并不只面对编写糟糕的应用程序（包括企业应用程序）——对于这样的应用程序，我必须单独处理。

我们还应该强调诸如 samba（或包含 samba）之类的应用程序 - 它们只需要执行域加入操作的域管理员凭据 - 这些凭据不会存储并且只使用一次。

不幸的是，您无法限制域用户可以执行 LDAP 绑定的主机。但您可以使用域策略禁止此类交互式登录用户在域中的 Windows 计算机上登录：

将这些用户添加到某个组，例如“服务帐户”
转到 GPOComputer Configuration/ Windows Settings/Security Settings/Local Policies/User Rights Assignment将“服务帐户”安全组添加到Deny log on locally并Deny log on through Terminal Services
将创建的 GPO 应用到您想要拒绝登录的所有域成员 Windows 主机。

Answer 1

任何授权的（LDAP 绑定操作后）Acrive Directory 域用户默认都可以搜索域中的其他用户。它适合您的任务。

我指的是在任何域用户下都存在授权搜索的可能性。尽管如此，我并不只面对编写糟糕的应用程序（包括企业应用程序）——对于这样的应用程序，我必须单独处理。

我们还应该强调诸如 samba（或包含 samba）之类的应用程序 - 它们只需要执行域加入操作的域管理员凭据 - 这些凭据不会存储并且只使用一次。

不幸的是，您无法限制域用户可以执行 LDAP 绑定的主机。但您可以使用域策略禁止此类交互式登录用户在域中的 Windows 计算机上登录：

将这些用户添加到某个组，例如“服务帐户”
转到 GPOComputer Configuration/ Windows Settings/Security Settings/Local Policies/User Rights Assignment将“服务帐户”安全组添加到Deny log on locally并Deny log on through Terminal Services
将创建的 GPO 应用到您想要拒绝登录的所有域成员 Windows 主机。

相关内容