当我尝试使用原始 Active Directory 域时,我注意到标准用户可以进入 Active Directory 用户和计算机 (dsa.msc) 和组策略管理控制台 (gpmc.msc) 并查看这两个相应服务 (AD 和组策略) 中的配置。
此外,我还注意到用户可以在域中搜索 AD 对象。出于纯粹的好奇,如果出于安全目的而不破坏任何其他功能,我该如何禁用用户对这些对象的访问?
我正在运行 Server 2016,其中包含 Server 2016 功能林和域级别。所有主机都是 Server 2016 成员服务器或 Windows 10 客户端。
答案1
从关于限制 Active Directory 中的权限的解释:
默认情况下,典型的域用户对 AD 域中的几乎所有内容都有读取权限 - 包括用户、组、组织单位 (OU) 和组策略对象 (GPO)。
...
限制用户的唯一方法是限制您不希望用户读取的对象的读取权限。但是,限制对 AD 对象的读取访问时要谨慎,否则可能会遇到问题。例如,如果用户对其他用户对象没有读取权限,他们可能无法使用 Microsoft Exchange Server 查找邮件收件人。如果您拒绝用户对 GPO 的读取访问权限,则您在这些 GPO 中的用户配置下配置的设置将不会应用。