Permissões para definir no usuário para ler somente do Active Directory

1

Eu tenho que configurar as contas de usuário para que os aplicativos usem para obter uma lista de usuários e membros de grupos do nosso domínio. Por isso, gostaria que esses aplicativos usassem credenciais para contas de usuários com o mínimo possível de acesso à minha rede.

O que fiz foi criar usuários básicos que não podem alterar as senhas, a participação em grupos é "Usuários do Domínio" e defino a senha para uma senha gerada aleatoriamente.

Existe algum grupo de segurança interno específico que eu deveria estar usando em vez disso? Existe outra forma mais segura de criar um usuário e conceder a ele esse tipo de acesso?

Toda e qualquer ajuda seria muito apreciada!

    
por someone1 25.07.2013 / 23:00

1 resposta

1

Como você não mencionou nenhuma restrição até onde a conta só pode ler partes do diretório, não vejo necessidade de pensar nisso. O grupo padrão "Usuários do domínio" já possui direitos mínimos. No entanto, ele tem o direito de ler objetos de usuário, grupo e computador do diretório, que é o que você deseja fazer.

Eu criaria um grupo chamado "Contas de serviço" ou algo semelhante e adicionaria seu usuário especial a esse grupo. Em seguida, modificaria um GPO no nível do domínio que define as configurações "Negar logon local" e "Negar logon pela área de trabalho remota" para o grupo Contas de serviço.

Mesmo que alguém tenha comprometido essa conta, eles não poderão fazer logon interativamente em nenhum computador do domínio com ela, nem terão privilégios suficientes para fazer qualquer coisa útil usando um logon de rede.

    
por 26.07.2013 / 00:52