Eu estava testando algo em meu laboratório: criei uma conta e, em seguida, adicionei uma ACL de negação ao domínio, aplicando a ele e a todos os objetos descendentes, negando o controle total. No entanto, descobri que usando o adfind como a conta negada, ainda consegui listar usuários (mas algumas propriedades estavam ocultas)!
Descobri que, ao aplicar uma ACL de controle total de negação apenas ao usuário, o usuário ficou oculto. No entanto, as permissões herdadas são exibidas e parecem negar tudo.
Por que a ACL herdada não é suficiente para impedir a listagem de usuários?
A plataforma neste caso é o windows server 2008 R2.
Acontece que as ACLs explícitas permitem ter precedência sobre as ACLs de negação herdadas, e há ACLs explícitas em cada objeto para usuários autenticados. Ai; a única maneira de fazer isso é desmembrar a permissão dos usuários autenticados em qualquer coisa que precise ser ocultada ou adicionar uma ACL explícita a cada objeto.
Isso torna proibitivamente difícil negar o acesso de um usuário para enumerar qualquer coisa no domínio, infelizmente.
Os usuários podem visualizar todos os objetos filhos de um contêiner, a menos que tenham sido negados a permissão no contêiner para exibir objetos filho.
Controlando a visibilidade do objeto
link
"Os Serviços de Domínio Active Directory fornecem a capacidade de ocultar objetos de usuários a quem foram negados determinados direitos. Se um objeto estiver oculto, um aplicativo que esteja sendo executado com credenciais de usuário não poderá enumerar ou vincular-se ao objeto.
"Se um usuário receber o controle de acesso ADS_RIGHT_ACTRL_DS_LIST em um contêiner, o usuário poderá visualizar qualquer um dos objetos filho do contêiner. Da mesma forma, se um usuário tiver negado o direito de controle de acesso ADS_RIGHT_ACTRL_DS_LIST em um contêiner, o usuário não pode visualizar nenhum dos objetos filho do contêiner, o que permite ocultar o conteúdo de todos os contêineres. "
Eu sei que isso é antigo, mas talvez minha resposta ajude a apontar quem precisa na direção certa (estou passando pela mesma coisa agora com uma empresa que já tinha um ambiente de AD implementado).
O grupo interno Usuários autenticados terá a capacidade de ler atributos de objetos do Active Directory e de que terá precedência sobre uma permissão DENY explícita herdada de um pai OU / Container. Tudo é baseado na maneira como o AD é originalmente construído e como a estrutura de permissões é projetada quando a floresta / domínio é criada. Leia este artigo para mais informações:
Ocultando dados no Active Directory
E este da mesma série (sobre como fazê-lo) ...
Ocultando dados no Active Directory, parte 3: Ativando o modo de objeto de lista em uma floresta
Basicamente, você pode ativar o List Object Mode alterando o bit dsHeuristics via ADSIedit (altere o terceiro bit de 0 para 1). Em seguida, elimine Usuários Autenticados (para que ele não seja aplicado automaticamente aos objetos do AD). Então suas permissões DENY terão precedência. No entanto, alterar isso fará com que o AD precise de mais tempo para avaliar as permissões, portanto, certifique-se de que isso é o que você deseja fazer. Para domínios "médios", o atraso é insignificante.
CUIDADO : Além disso, tenha certeza de que é isso que você quer fazer (e eu recomendo fazer isso quando você criar o domínio pela primeira vez, não depois que ele estiver em usar). A menos que você faça isso quando o domínio é criado pela primeira vez, é provável que você quebre diretivas de grupo, aplicativos que consultam o AD etc. Esse tipo de coisa deve ser planejado e implementado em um domínio inicial para que você garanta as permissões adequadas estão no local para que os aplicativos funcionem no momento em que são implantados. Tudo depende de quão granular você deseja obter, mas pode facilmente quebrar tudo se você implementá-lo em um domínio que já está em produção.