【发布时间】:2009-01-01 18:01:21
【问题描述】:
是否可以定义一个策略来限制用户仅枚举他自己的 OU 中的帐户?
例如,让我们考虑一个域 Contosos 以及 OUs Sales 和 HR。Sales OU 有两个用户 A 和 B,HR OU 有用户 C 和 D。
是否可以定义一个策略,使 A 只能枚举账户 A 和 B,而 C 只能枚举 C 和 D,而不能枚举不在其 OU 中的账户?
【问题讨论】:
标签: active-directory
是否可以定义一个策略来限制用户仅枚举他自己的 OU 中的帐户?
例如,让我们考虑一个域 Contosos 以及 OUs Sales 和 HR。Sales OU 有两个用户 A 和 B,HR OU 有用户 C 和 D。
是否可以定义一个策略,使 A 只能枚举账户 A 和 B,而 C 只能枚举 C 和 D,而不能枚举不在其 OU 中的账户?
【问题讨论】:
标签: active-directory
不要那样做!
但是,您可以为每个 OU 创建一个组,并将 ou 用户放入该组中。然后,您可以更改每个其他 OU 的权限以拒绝该组的“列出内容”权限。我认为没有脚本可以配置它。但由于规则很简单,因此可以编写脚本。
就是这么说的。我建议您在没有专门针对此特定主题的专家组的情况下,不要敢更改活动目录的默认权限。只需单击几下,您就可以很容易地使您的网络变得无用。即使您不这样做,对 Active Directory 安全性有期望的程序(甚至没有意识到这一点)也有可能会出现细微的错误。
所以规则是。如果你不得不问,不要这样做。如果你需要成为专家,那么:
http://www.google.com/search?hl=en&q=active+directory+permission+site:microsoft.com&btnG=Search
更新:“如果您需要询问”规则是指在这样的公共网站上询问。像我这样的非专家可以给你潜在的误导性信息,就像我的一样(我希望不会,但是......)。我不确定您的要求没有简单的解决方案。 但据我所知,这是一条烧毁了无数勇敢灵魂的道路。
【讨论】:
好点! 我自己不知道该怎么做,但是 Igal Serban 的回答让我很感动。他是对的,在公共论坛上,如果您接受不成熟的建议,您将为此付出很多。我曾经因为这样的原因被咬过一次。
阅读一些书籍或咨询一些专家!
【讨论】: