我们必须在 Active Directory 中有一个属性来存储用户的默认密码,以便将此信息传递给用户创建工具(Google Cloud Directory Sync 等),以便在初始创建时设置他们的密码。我在 AD 中创建了一个自定义属性来存储此信息。
默认情况下,域中的每个用户如果仔细查看,都可以查看此属性。我尝试“拒绝”“Everyone”组对此属性的读/写设置,但即使是域管理员(我……)也无法读取或修改它。
我该如何尝试保护这个字段?有可能吗?我知道这违反了“目录”的核心概念,但这就是我的情况……
答案1
这可以说是我应该在 Active Directory 中的哪里存储敏感数据?
要点是您需要创建一个属性并将其标记为机密。