Como tornar os grupos não legíveis para usuários no AD

Question

Como tornar os grupos não legíveis para usuários no AD

#1 resposta do (2 votos)
#2 resposta do (1 votos)

2

Estamos usando painéis de tarefas para delegar tarefas (como redefinir senha) para administradores remotos; a delegação é feita no nível da OU; mas, infelizmente, a UO contém algumas contas / grupos especiais (como contas de aplicativos e grupos de administração que são por design); Nós não queremos administradores remotos mexendo com eles. Existe alguma maneira de tornar esses grupos e contas de usuário inacessíveis para administradores remotos, mesmo que eles sejam delegados no nível da UO?

- > Seria melhor se pudéssemos me invisíveis para os administradores remotos, mas não acho que seja plausível. - > Essas contas / grupos não podem ser removidos da UO em questão

Por favor, dê suas sugestões, me avise se tiver dúvidas ou esclarecimentos.

permissions groups active-directory windows-server-2008

por Darktux 23.01.2013 / 20:47

2 respostas

1

Você pode retirar as permissões "Ler" e / ou "Gravar" das ACLs do grupo e dos objetos da conta em questão depois de desabilitar a herança para que as ACLs da OU não se propaguem para esses objetos - consulte < href="http://technet.microsoft.com/pt-br/library/cc785913%28v=ws.10%29.aspx"> a documentação para obter detalhes sobre as ACLs e herança.

Para tornar esses objetos invisíveis para usuários sem permissão de leitura, você teria que ativar o Modo de Objeto de Lista em seu diretório e definir a ACE de Objeto de Lista para os objetos de contêiner em questão. Mais uma vez, consulte os documentos para obter detalhes.

por 23.01.2013 / 23:33

Tags permissions groups active-directory windows-server-2008

httpd usando centenas de memória mb Remova o “www” do domínio com o Apache2 para HTTPS?

score 2 · Accepted Answer

Se você estiver delegando as permissões mínimas necessárias para gerenciar contas de usuário (redefinir senha, ler atributos, gravar atributos e desbloquear contas somente em contas de usuários), elas não poderão fazer nada com os grupos. é um não-problema. O fato de estarem na mesma UO não importa se você delegou as permissões corretamente.

Tentar fazer algo como tornar os usuários incapazes de ler grupos é possível, mas não é a resposta correta para esse problema e provavelmente causará problemas no futuro, já que o padrão nos comporta para que todos os usuários possam ler todos associação ao grupo. Quebrar isso pode ter consequências não intencionais, especialmente com aplicativos de terceiros ou coisas que são LDAP ausentes, mas talvez não sejam reconhecidas pelo AD.