Restringir usuários de executar o DSQuery e o DSGet

2

Como um novo Administrador do AD para o nosso domínio Server 2003, recentemente foi trazido à minha atenção que qualquer usuário autenticado pode executar o DSQuery e o DSGet em qualquer uma de nossas máquinas membros do domínio. Eles podem até mesmo executá-lo a partir de um drive USB. Preciso configurar o Active Directory para restringir o DSQuery e o DSGet a grupos de segurança específicos, mas até agora não encontrei nem mesmo uma sugestão dessa possibilidade. Alguma idéia?

    
por Drew Perry 04.02.2010 / 23:10

1 resposta

2

O que você está tentando realizar ao restringi-los dessa maneira? Todos os usuários no AD precisam ter acesso de leitura ao AD para que possam fazer backups e obter as informações necessárias de autenticação e autorização.

Se você está realmente preocupado apenas em limitar esses dois programas (o que não os impediria de usar outra coisa que lê informações do LDAP), você poderia impedir o uso desses programas por meio de um GPO. (Configuração do usuário - > Modelos de administrador - > Sistema - > Política - > Não execute os aplicativos do Windows especificados).

Isso realmente soa como tentar fazer a segurança pela obscuridade ... o que não vale a pena.

    
por 04.02.2010 / 23:30