我正在为 RSAT 设置一个帮助台人员,然后委派人员进行密码重置,在安装 RSAT 时,我注意到任何域用户都可以安装 RSAT 并查看每个 OU、哪些用户被禁用以及其他内容。
显然,他们没有权限更改任何东西,但如果有意义的话,我宁愿不要有这种可能性哈哈...这是任何域帐户都能够看到每个组/用户/等的标准做法吗?
答案1
这是正常的。知道企业环境中的资源存在通常不是安全问题。不要试图“修复”这个问题。
答案2
根据上述内容,任何域用户都可以通过运行某些 powershell、net user /domain
命令提示符或运行 LDAP 工具来查看帐户。AD 是目录服务- 账户应该对任何人都可见。LDAP 最初在当时被广泛用于提供电子邮件目录服务,甚至只是提供地址/电话目录。这是它的主要功能(与x500,LDAP 源于此)。
有些对象和属性对于普通用户默认是隐藏的。也不要弄乱它们。
有时您可能想要更改单个属性的权限以隐藏它们(例如,如果您存储出生日期),但这不应该对默认帐户名和类似属性进行(通常最好在架构中创建自定义用户属性用于此类目的)。