Верно. Эта информация доступна как часть LDAP. Вы можете заблокировать AD с помощью делегирования и изменения прав безопасности, но я бы не рекомендовал это.
Да, разрешения безопасности по умолчанию в Active Directory предоставляют всем пользователям доступ на чтение к большинству атрибутов объектов в каталоге, включая других пользователей.
Если удаление этой возможности необходимо для удовлетворения ваших требований требований безопасности бизнеса, к сожалению, это не так просто, как изменить разрешения для OU / контейнера, в котором находятся ваши конфиденциальные пользователи. Разрешения, предоставляющие доступ для чтения к этим атрибутам, фактически не наследуются от их контейнера. Они устанавливаются непосредственно на объекте во время создания.
Чтобы изменить это, вам необходимо отредактировать схему AD и изменить ACL безопасности по умолчанию для пользовательского класса в соответствии с вашими требованиями безопасности. Безусловно, это деликатная операция. Но в отличие от других изменений схемы, это ' s полностью обратимый (просто измените разрешения обратно).
Это также не будет иметь обратной силы для пользователей, которые уже существуют. Вам нужно будет вернуться постфактум и использовать такой инструмент, как dsacls
, чтобы сбросить для пользователей их разрешения безопасности по умолчанию из схемы.
Имейте в виду, что многие приложения, которые обращаются к Active Directory будет предполагать, что существуют разрешения безопасности по умолчанию, и может дать сбой по странным причинам, если не сможет прочитать эти атрибуты пользователя. Поэтому убедитесь, что все приложения, которым требуется доступ, работают с учетными данными, которым был предоставлен явный доступ для чтения атрибутов, которые им важны.
Мне нужно будет вернуться постфактум и использовать такой инструмент, как dsacls
, чтобы сбросить для пользователей их разрешения безопасности по умолчанию из схемы.
Имейте в виду, что многие приложения, которые обращаются к Active Directory, будут предполагать разрешения безопасности по умолчанию существуют и могут давать сбой по странным причинам, если они не могут прочитать эти атрибуты пользователя. Поэтому убедитесь, что все приложения, которым требуется доступ, работают с учетными данными, которым был предоставлен явный доступ для чтения атрибутов, которые им важны.
Мне нужно будет вернуться постфактум и использовать такой инструмент, как dsacls
, чтобы сбросить для пользователей их разрешения безопасности по умолчанию из схемы.
Имейте в виду, что многие приложения, которые обращаются к Active Directory, будут предполагать разрешения безопасности по умолчанию существуют и могут давать сбой по странным причинам, если они не могут прочитать эти атрибуты пользователя. Поэтому убедитесь, что все приложения, которым требуется доступ, работают с учетными данными, которым был предоставлен явный доступ для чтения атрибутов, которые им важны.