Evitar que usuários do AD vejam membros do grupo?

1

Preciso impedir que os usuários visualizem a associação de grupos dos quais não são membros.

Então, por exemplo,

Bob está no Grupo A, mas não no Grupo B, portanto, se Bob examinasse propriedades no AD, ele veria todos os membros do Grupo A, mas não os membros do Grupo B.

Isso faz parte de um teste de controle de qualidade para software que enumera grupos usando IADsGroup.IsMember. A saída de chamar que, se as permissões do grupo estiverem corretas, é uma exceção, mas não posso replicar as condições do AD para gerar essa exceção.

    
por warrenkopp 22.08.2012 / 20:28

1 resposta

2

Sim.

Você terá que modificar as permissões no objeto Grupo que você não quer que todos os outros possam espiar.

Uma maneira de fazer isso é em Usuários e Computadores do Active Directory. Certifique-se de que "Exibir recursos avançados" esteja ativado. Agora você pode ver as configurações de segurança de cada objeto do Grupo de segurança. Observe que "Usuários autenticados" tem permissões de leitura por padrão. Você terá que mudar isso se não quiser que todos os Usuários Autenticados possam ler o objeto Grupo.

Isso envolverá uma estratégia de design de permissões para implementar isso do jeito que você deseja. Você terá que planejar as coisas e, como sempre, tenha cuidado ao modificar as configurações padrão, como essas, em objetos do AD. Não cause um evento de URLT. (Atualizar currículo; sair da cidade)

Edit: Então, para elaborar um pouco mais sobre o seu cenário particular. Você pode considerar a adição do GroupA à ACL do GroupB e a verificação de Negar o privilégio de leitura. Negar sempre precede as permissões Permitir, portanto, deve interromper com eficácia a capacidade do GroupA de ler o objeto GroupB.

    
por 22.08.2012 / 20:42