Isso está correto. Essa informação está disponível como parte do LDAP. Você poderia bloquear o AD usando delegação e modificar os direitos de segurança, no entanto, eu não recomendaria isso.
SO do servidor = Windows Server 2008 R2 Std (controlador de domínio)
SO do cliente = Windows XP e amp; 7
Sempre que adicionamos o Laptop / Desktop ao domínio. Depois disso, se o usuário quiser ter informações de determinadas informações sobre o objeto / outros usuários do departamento, como endereço de e-mail, departamento, número de celular, cargo etc. Ele pode obter facilmente executando a consulta LDAP correta? Existe alguma maneira de proteger essas informações? Por favor, corrija-me se estou errado?
Isso está correto. Essa informação está disponível como parte do LDAP. Você poderia bloquear o AD usando delegação e modificar os direitos de segurança, no entanto, eu não recomendaria isso.
Sim, as permissões de segurança padrão no Active Directory fornecem a todos os usuários acesso de leitura à maioria dos atributos em objetos no diretório, incluindo outros usuários.
Se a remoção dessa capacidade for necessária para satisfazer os requisitos de segurança da sua empresa, infelizmente não é tão fácil quanto modificar as permissões na UO / container onde seus usuários confidenciais estão localizados. As permissões que concedem acesso de leitura a esses atributos não são realmente herdadas de seu contêiner. Eles estão definidos diretamente no objeto no momento da criação.
Para alterar isso, você precisa editar o esquema do AD e modificar a ACL de segurança padrão na classe de usuário para os requisitos de segurança exigidos. É uma operação delicada para ter certeza. Mas, ao contrário de outras alterações de esquema, é totalmente reversível (basta alterar as permissões de volta).
Ele também não afeta retroativamente os usuários que já existem. Você precisará voltar após o fato e usar uma ferramenta como dsacls
para redefinir os usuários às suas permissões de segurança padrão do esquema.
Lembre-se de que muitos aplicativos que acessam o Active Directory presumirão que as permissões de segurança padrão existem e poderão falhar de maneiras estranhas, se não puderem ler esses atributos de usuário. Portanto, verifique se os aplicativos que precisam de acesso estão sendo executados com credenciais que receberam acesso explícito para ler os atributos com os quais se importam.