Вы удалили прошедших проверку пользователей из доступа, совместимого с пред-Windows 2000, чтобы пользователи не могли читать хэши паролей UNIX друг друга. Доступ, совместимый с пред-Windows 2000, имеет права на чтение почти всех свойств большинства объектов, и именно так большинство участников безопасности, не являющихся администраторами, читают свойства объекта. Членство в группе определяется для пользователя путем чтения атрибута memberOf
, и, как и unixUserPassword
, возможность читать его большинством ваших пользователей теперь удалена. Причина, по которой пользователи, НАХОДЯЩИЕСЯ в защищенных группах, НЕ нарушены, а пользователи, которые НЕ входят в защищенные группы, нарушены, потому что, как ни странно, AdminSDHolder предоставляет больше разрешающих прав на чтение свойств защищенных объектов, чем незащищенные объекты.
Нет " верный" ответ, чтобы исправить вашу проблему, так как обычно не рекомендуется хранить конфиденциальные данные в AD (именно по этой причине). Вы можете установить бит конфиденциальности. Я никогда этого не делал, но в этой статье базы знаний подробно рассказывается: Как пометить атрибут как конфиденциальный в Windows Server 2003 Service Pack 1