我如何知道用户可以通过 LDAP 查询哪些 AD 路径?例如,当我通过 Microsoft 以测试用户身份连接到我们的模拟 AD 控制器服务器时广告探索者,我注意到我可以查看(看起来像)整个 AD 结构,并且能够编辑任何路径中的任何其他对象。
我可以在这个测试用户的属性中看到指定此访问权限的位置吗?在 AD 管理中心 UI 中的用户属性中?基本上,我想限制它,以便他们只能查询自己的基础(或一些选择)欧亚进行 LDAP 查询或通过 ADExplorer 连接时,请使用 s/directories。
当我通过 ADExplorer 连接到 AD 控制器时,我可以查看所有内容,包括连接用户不是其成员的路径(他们只是其成员myorg.local/Users
)或包含在其子路径中的路径。
基本的 AD 结构看起来像......
myorg.local (DC,DC)
...
testing (OU)
groups (OU)
...
users (OU)
testuser (CN)
...
Users (CN)
other1.local (DC,DC)
...
other2.local (DC,DC)
...
...但 testuser 可以读取所有内容
另外,有没有办法限制他们通过 ADEXplorer 和类似的应用程序进行连接?
答案1
这些是我见过的一些答案......
默认为对整个域具有读取权限。您不能拒绝对用户所在的 OU、用户使用的任何其他资源的 OU(例如,单独 OU 中的计算机)或其任何父容器的读取权限。
阻止 AD 流量是出了名的棘手 - 您最好首先阻止未经授权的用户在加入域的设备上运行恶意应用程序,并依靠权限确保只有授权的管理员/高级用户可以编辑 AD 对象 - 通常通过委派。
以下是取消他们读取敏感 OU 权限的步骤。
我建议在生产中实施之前设置一个测试域来尝试一下,因为如果做错了可能会产生严重的后果。
Active Directory 就是一个目录。LDAP...D 代表 Dieectory。它就是这样设计的,AD、Windows 或其他解决方案中的许多服务和组件都依赖于此。
那里有几个选择!
老实说,最简单的方法可能是维护另一个项目名称到项目访问授予组名称映射的来源,或者使用对组外任何人来说都没有意义的项目组缩写。
另一种选择是使用这些组上的特定属性来跟踪他们的真实姓名(类似于上面的第一个选项。各种系统未使用的属性比整个帐户/组/等更容易锁定,但可能需要您扩展架构。
维护群组地图,以便将特定事物(例如项目)组织起来,可以提供一组有用的数据,因此我倾向于使用第一个选项(另一个映射名称的来源),但我还没有处于有这种限制的环境中,所以有这种限制的人可能会对替代方案有更多的了解
当我回到这个问题并做更多的工作时,会进一步完善这个答案