Любой пользователь может видеть (но не изменить ничего в AD) с RSAT?
Я настраиваю сотрудника службы поддержки с RSAT, а затем делегирую его для сброса пароля, и при установке RSAT я заметил, что ЛЮБОЙ пользователь домена может установить RSAT и просмотреть каждое подразделение, какие пользователи отключены, и другие вещи.
Очевидно, что разрешения отсутствуют, так что они могут изменить что-либо, но я бы предпочел не иметь такой возможности, если это имеет смысл, ха-ха ... это стандартная практика для любой учетной записи домена, чтобы иметь возможность чтобы увидеть каждую группу / пользователя / и т. д.?
Это нормально. Знание того, что ресурс в корпоративной среде существует, как правило, не является проблемой безопасности. Не пытайтесь "исправить" это.
Согласно вышеизложенному, ЛЮБОЙ пользователь домена может просматривать учетные записи, запустив powershell или net user /domain в командной строке или запустив инструмент LDAP. AD — это служба каталогов — учетные записи должны быть видны всем. Первоначально LDAP использовался много времени назад для предоставления службы каталогов для электронной почты или даже просто каталога адресов/телефонов. Это его основная функция (как и в случае с x500, от которого происходит LDAP).
Некоторые объекты и свойства по умолчанию скрыты от обычных пользователей. С ними тоже не связывайтесь.
Бывают случаи, когда вы можете захотеть изменить разрешения для отдельных атрибутов, чтобы скрыть их (например, если вы храните дату рождения), но этого не следует делать для имени учетной записи по умолчанию и подобных атрибутов (часто лучше создать пользовательского пользователя атрибут в схеме для этой цели).