任何用户都可以使用 RSAT 查看(但不能更改 AD 中的任何内容)吗?

任何用户都可以使用 RSAT 查看(但不能更改 AD 中的任何内容)吗?

我正在为 RSAT 设置一个帮助台人员,然后委派人员进行密码重置,在安装 RSAT 时,我注意到任何域用户都可以安装 RSAT 并查看每个 OU、哪些用户被禁用以及其他内容。

显然,他们没有权限更改任何东西,但如果有意义的话,我宁愿不要有这种可能性哈哈...这是任何域帐户都能够看到每个组/用户/等的标准做法吗?

答案1

这是正常的。知道企业环境中的资源存在通常不是安全问题。不要试图“修复”这个问题。

答案2

根据上述内容,任何域用户都可以通过运行某些 powershell、net user /domain命令提示符或运行 LDAP 工具来查看帐​​户。AD 是目录服务- 账户应该对任何人都可见。LDAP 最初在当时被广泛用于提供电子邮件目录服务,甚至只是提供地址/电话目录。这是它的主要功能(与x500,LDAP 源于此)。

有些对象和属性对于普通用户默认是隐藏的。也不要弄乱它们。

有时您可能想要更改单个属性的权限以隐藏它们(例如,如果您存储出生日期),但这不应该对默认帐户名和类似属性进行(通常最好在架构中创建自定义用户属性用于此类目的)。

相关内容