我如何知道 AD 用户能够通过 LDAP 查询哪些 AD 路径？

Question

这些是我见过的一些答案......

默认为对整个域具有读取权限。您不能拒绝对用户所在的 OU、用户使用的任何其他资源的 OU（例如，单独 OU 中的计算机）或其任何父容器的读取权限。

阻止 AD 流量是出了名的棘手 - 您最好首先阻止未经授权的用户在加入域的设备上运行恶意应用程序，并依靠权限确保只有授权的管理员/高级用户可以编辑 AD 对象 - 通常通过委派。

以下是取消他们读取敏感 OU 权限的步骤。

https://social.technet.microsoft.com/wiki/contents/articles/29558.active-directory-controlling-object-visibility-list-object-mode.aspx

我建议在生产中实施之前设置一个测试域来尝试一下，因为如果做错了可能会产生严重的后果。

Active Directory 就是一个目录。LDAP...D 代表 Dieectory。它就是这样设计的，AD、Windows 或其他解决方案中的许多服务和组件都依赖于此。

那里有几个选择！

老实说，最简单的方法可能是维护另一个项目名称到项目访问授予组名称映射的来源，或者使用对组外任何人来说都没有意义的项目组缩写。

另一种选择是使用这些组上的特定属性来跟踪他们的真实姓名（类似于上面的第一个选项。各种系统未使用的属性比整个帐户/组/等更容易锁定，但可能需要您扩展架构。

维护群组地图，以便将特定事物（例如项目）组织起来，可以提供一组有用的数据，因此我倾向于使用第一个选项（另一个映射名称的来源），但我还没有处于有这种限制的环境中，所以有这种限制的人可能会对替代方案有更多的了解

当我回到这个问题并做更多的工作时，会进一步完善这个答案

Answer 1

这些是我见过的一些答案......

默认为对整个域具有读取权限。您不能拒绝对用户所在的 OU、用户使用的任何其他资源的 OU（例如，单独 OU 中的计算机）或其任何父容器的读取权限。

阻止 AD 流量是出了名的棘手 - 您最好首先阻止未经授权的用户在加入域的设备上运行恶意应用程序，并依靠权限确保只有授权的管理员/高级用户可以编辑 AD 对象 - 通常通过委派。

以下是取消他们读取敏感 OU 权限的步骤。

https://social.technet.microsoft.com/wiki/contents/articles/29558.active-directory-controlling-object-visibility-list-object-mode.aspx

我建议在生产中实施之前设置一个测试域来尝试一下，因为如果做错了可能会产生严重的后果。

Active Directory 就是一个目录。LDAP...D 代表 Dieectory。它就是这样设计的，AD、Windows 或其他解决方案中的许多服务和组件都依赖于此。

那里有几个选择！

老实说，最简单的方法可能是维护另一个项目名称到项目访问授予组名称映射的来源，或者使用对组外任何人来说都没有意义的项目组缩写。

另一种选择是使用这些组上的特定属性来跟踪他们的真实姓名（类似于上面的第一个选项。各种系统未使用的属性比整个帐户/组/等更容易锁定，但可能需要您扩展架构。

维护群组地图，以便将特定事物（例如项目）组织起来，可以提供一组有用的数据，因此我倾向于使用第一个选项（另一个映射名称的来源），但我还没有处于有这种限制的环境中，所以有这种限制的人可能会对替代方案有更多的了解

当我回到这个问题并做更多的工作时，会进一步完善这个答案

我如何知道 AD 用户能够通过 LDAP 查询哪些 AD 路径？

答案1

相关内容