Политика, позволяющая пользователю перечислять учетные записи только внутри своего подразделения в Active Directory.
https://stackoverflow.com/questions/405230
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Можно ли определить политику, которая запрещает пользователю перечислять учетные записи только в его собственном подразделении?
Например, давайте рассмотрим домен Contosos и подразделения Sales и HR. В подразделении продаж есть два пользователя A и B, а в подразделении отдела кадров есть пользователи C и D.
Можно ли определить политику, чтобы A мог перечислять только учетные записи A и B, а C мог перечислять только C и D, но не учетные записи, не входящие в их подразделение?
Решение
Не делай этого!
Но вы можете создать группу для каждого подразделения и поместить в нее пользователей подразделения.Затем вы можете изменить разрешение для любого другого подразделения, чтобы запретить этой группе разрешение «список содержимого».Я не думаю, что есть способ настроить это без сценариев.Но поскольку правило простое, его можно написать в сценарии.
Тем не менее.Я бы посоветовал вам не осмелиться и изменить разрешение активного каталога по умолчанию, не имея специальной группы экспертов по этому конкретному вопросу.Вы можете легко сделать свою сеть бесполезной всего за несколько кликов.И даже если вы этого не сделаете, есть вероятность, что программы, которые рассчитывают на безопасность активных каталогов (даже не осознавая этого), будут страдать от незначительных ошибок.
Итак, правило такое.Если вам нужно попросить, не делайте этого.если вам нужно стать экспертом, то:
http://www.google.com/search?hl=en&q=active+directory+permission+site:microsoft.com&btnG=Search
Обновлять: Правило «Если вам нужно спросить» относится к вопросу на общедоступном сайте, подобном этому.Где неспециалисты, такие как я, могут дать вам потенциально вводящую в заблуждение информацию, как и я (надеюсь, что нет, но...).Я не уверен, что у вашего требования нет простого решения.Но, насколько я знаю, это путь, который сжег немало смельчаков.
Другие советы
Хорошая точка зрения!Я сам понятия не имею, как это сделать, однако ответ Игаля Сербана меня тронул.Он прав: на публичном форуме, если вы примете незрелые предложения, вы дорого за это заплатите.Однажды меня укусили по такой причине.
Прочтите несколько книг или проконсультируйтесь с экспертами!
