【问题标题】:Policy to allow user to enumerate accounts only within his own OU in Active Directory允许用户仅在 Active Directory 中自己的 OU 中枚举帐户的策略
【发布时间】:2009-01-01 18:01:21
【问题描述】:

是否可以定义一个策略来限制用户仅枚举他自己的 OU 中的帐户?

例如,让我们考虑一个域 Contosos 以及 OUs Sales 和 HR。Sales OU 有两个用户 A 和 B,HR OU 有用户 C 和 D。

是否可以定义一个策略,使 A 只能枚举账户 A 和 B,而 C 只能枚举 C 和 D,而不能枚举不在其 OU 中的账户?

【问题讨论】:

    标签: active-directory


    【解决方案1】:

    不要那样做!

    但是,您可以为每个 OU 创建一个组,并将 ou 用户放入该组中。然后,您可以更改每个其他 OU 的权限以拒绝该组的“列出内容”权限。我认为没有脚本可以配置它。但由于规则很简单,因此可以编写脚本。

    就是这么说的。我建议您在没有专门针对此特定主题的专家组的情况下,不要敢更改活动目录的默认权限。只需单击几下,您就可以很容易地使您的网络变得无用。即使您不这样做,对 Active Directory 安全性有期望的程序(甚至没有意识到这一点)也有可能会出现细微的错误。

    所以规则是。如果你不得不问,不要这样做。如果你需要成为专家,那么:

    http://www.google.com/search?hl=en&q=active+directory+permission+site:microsoft.com&btnG=Search

    更新:“如果您需要询问”规则是指在这样的公共网站上询问。像我这样的非专家可以给你潜在的误导性信息,就像我的一样(我希望不会,但是......)。我不确定您的要求没有简单的解决方案。 但据我所知,这是一条烧毁了无数勇敢灵魂的道路。

    【讨论】:

      【解决方案2】:

      好点! 我自己不知道该怎么做,但是 Igal Serban 的回答让我很感动。他是对的,在公共论坛上,如果您接受不成熟的建议,您将为此付出很多。我曾经因为这样的原因被咬过一次。

      阅读一些书籍或咨询一些专家!

      【讨论】:

        猜你喜欢
        • 1970-01-01
        • 2020-01-19
        • 1970-01-01
        • 2019-10-30
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 2011-08-10
        相关资源
        最近更新 更多