限制安全组的 LDAP 查询

【问题标题】:Limit LDAP Query for Security Group限制安全组的 LDAP 查询
【发布时间】:2017-03-31 03:50:33
【问题描述】:

我们有一些域帐户用于对各种系统进行 LDAP 查询。我们不希望这些帐户能够查询我们 AD 中的所有 OU。

  • @ 域级别,我们已授予 Authenticated Users 对所有 OU 的读取权限。
  • 创建了这些帐户所属的安全组。
  • 授予对三个 OU 的安全组读取访问权限,在这些 OU 中我们有用户,他们应该能够查询。
  • 向包含用户的所有其他 OU 颁发了拒绝完全控制权限。

使用帐户的系统之一是我们的复印机。目录的全局搜索仍在提取存在于 OU 中且已配置拒绝的用户。

不确定这是怎么发生的。

想法?

【问题讨论】:

    标签: security permissions active-directory


    【解决方案1】:

    仅拒绝对象所在的 OU 是不够的。权限需要拒绝:

    • 列出内容
    • 读取所有属性
    • 读取权限

    并且需要在有问题的 OU 上为“此对象和所有后代对象”申请。

    【讨论】:

    • 当您将安全配置为完全控制级别的拒绝时,它会自动检查列表中的所有项目,包括列表内容、读取所有属性和读取权限。我们验证了拒绝权限已推送到所有后代对象,其中包括我们能够从复印机中查找的用户。
    • 为了清楚起见,我们将拒绝放在 OU 中,并验证该 OU 下的所有下属 OU、安全组和用户都收到了继承的拒绝权限。
    • 如果您转到其中一位用户的安全选项卡,您不希望他们能够查看/查询,请转到高级下的有效权限选项卡,然后输入执行以下操作的帐户查询,有效权限显示什么?
    • 谢谢!发现问题。不知何故,有人为经过身份验证的用户提供了明确的读取权限。显式权限会覆盖继承的权限,即使继承的权限包含拒绝。
    猜你喜欢
    • 1970-01-01
    • 2015-09-22
    • 1970-01-01
    • 1970-01-01
    • 2021-04-12
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode