在 Active Directory 中执行 LDAP 查询的最低安全权限

StackOverflow https://stackoverflow.com/questions/823184

我们公司正在尝试使用 Active Directory (Windows Server 2003) 和 LDAP 来实现一些单点登录应用程序。我想尽可能锁定用于进行这些 LDAP 查询的帐户。配置此类帐户的最佳实践是什么?

有帮助吗?

解决方案

您可以通过轻松使用委派向导来限制/允许用户在AD中查看/查询/查询。右键单击OU,然后选择委派控制,即可轻松访问委派向导。你们可能想看看这些文章:

Active Directory委派中的默认安全问题

委派Active Directory管理的最佳做法:委派如何在Active Directory中运行

委派Active Directory管理的最佳做法:案例研究:委派方案

其他提示

请参见 如何配置 Active Directory 以允许匿名查询 为了最低限度的安全。

默认情况下,Microsoft LDAP 实施不支持安全 LDAP。要使用 SSL 设置安全 LDAP,必须在 LDAP 服务器和 LDAP 客户端上安装证书。在许多情况下,LDAP 服务器是运行 Active Directory 的域控制器。

使用 SSL 运行安全 LDAP 所需的证书可以通过多种方式进行配置。这个概念始终是相同的:

  • Active Directory域控制器使用由受信任认证机构颁发的特殊证书。
  • Clent Computer信任证书机构,该认证机构向Active Directory域控制器发出证书。
许可以下: CC-BY-SA归因
不隶属于 StackOverflow
scroll top