Restringir o acesso aos atributos do diretório ativo de um computador específico?

Question

Restringir o acesso aos atributos do diretório ativo de um computador específico?

#1 resposta do (1 votos)
#2 resposta do (1 votos)

2

Eu sei que alguns atributos no AD são classificados como informações pessoais e alguns são classificados como informações públicas (veja a coluna "conjunto de propriedades" aqui - link ).

A minha pergunta é, como eu uso essa informação para esconder esses atributos quando os usuários estão logados de um determinado computador. Eu estou pensando que isso seria uma ótima camada extra de proteção contra vazamento de dados se você estivesse planejando colocar um computador em uma área pública. Se a máquina foi comprometida, isso deve limitar a quantidade de dados que podem ser despejados do AD.

Eu não quero restringir o acesso a esses atributos com base na conta do usuário, só quero restringir o acesso a atributos classificados como "informações pessoais" de um determinado computador.

windows security active-directory attributes

por Sapg 05.12.2014 / 15:51

2 respostas

Tags windows security active-directory attributes

Restringir o login SSH à chave pública de redes públicas, mas permitir senha de redes internas Como servir arquivos de texto giziped com nginx

score 1 · Answer 1

Se um usuário tiver acesso para ler esses atributos e você quiser impedi-los de ler esses atributos somente em determinados locais, a única coisa que posso fazer é seguir um RODC com FAS (Conjunto de Atributos Filtrados ).

link

O que você faria é configurar um controlador de domínio somente leitura e fazer com que essas máquinas públicas apontem apenas para esse controlador de domínio. Em seguida, você pode estender o conjunto de atributos filtrados padrão para incluir os atributos que deseja ocultar (marcar como confidenciais). Isso impediria que esses atributos fossem legíveis no RODC.

Isso é listado como um dos benefícios de um RODC.

link

Pode haver outras maneiras, mas eu não tenho certeza, eu sou apenas o cara novo aqui.

score 1 · Answer 2

Você teria que restringi-lo com base na conta de usuário, que é o objeto da conta que estaria "lendo" essa informação com base no conjunto de propriedades "Informações Pessoais" e não no objeto de computador.

Se você estiver querendo limitar a exposição de um computador às informações do AD, com base em sua "colocação em uma área pública", é melhor deixar o computador não associado ao domínio e usar autenticação local nele. Ele ainda pode acessar recursos corporativos com RUNAS ou RemoteApps ou algo similar que dá a esse computador acesso aos recursos necessários.