Как сделать Группы как не читаемыми Пользователям в AD
Это чрезмерно?
Короче говоря: Нет.
Можно начать быть взволнованными, после того как Вы начинаете видеть частоты запроса ARP три или четыре порядка величины больше, чем это.
Как в стороне, Ваш снимок экрана не показывает пакеты ARP. Это показывает пакеты STP, которые выполняют совершенно другую задачу.
Если вы делегируете минимальные разрешения, необходимые для управления учетными записями пользователей (сброс пароля, чтение атрибутов, запись атрибутов и разблокировка учетных записей только для учетных записей пользователей), то они не смогут делать что-нибудь с группами, так что это не проблема. Тот факт, что они находятся в одном подразделении, не имеет значения, если вы правильно делегировали права доступа.
Попытка сделать что-то вроде запрета пользователям читать группы возможна, но на самом деле это неправильный ответ на эту проблему. и, вероятно, вызовет проблемы в будущем, поскольку по умолчанию все пользователи могут читать все членство в группе. Нарушение этого может иметь непредвиденные последствия, особенно со сторонними приложениями или вещами, которые не поддерживают LDAP, но, возможно, не поддерживают AD.
Вы можете отозвать разрешения «Чтение» и / или «Запись» из списков ACL объектов группы и учетной записи в вопрос после отключения наследования, чтобы ACL OU не распространялись на эти объекты - см. документацию для получения подробной информации о ACL и наследовании.
Чтобы сделать эти объекты невидимыми для пользователей без разрешения на чтение, вам нужно включить List Object Mode в вашем каталоге и установите ACE List Object для рассматриваемых контейнерных объектов. Снова см. документацию для подробностей.