Ограниченный счет на опрос Active Directory LDAP

Вы собираетесь нарушить тот факт, что разрешения по умолчанию в Active Directory являются довольно разрешительными по отношению к «прошедшим проверку пользователям», «группе», членом которой будет любой созданный вами пользователь. По умолчанию «Прошедшие проверку пользователи / Чтение» находятся в верхней части доменного раздела каталога.

Попытка изменить эти разрешения по умолчанию будет проблематичной, если вы хотите, чтобы Microsoft оставалась «поддерживаемой» (а также просто все работает так, как вы ожидаете).

Если вы действительно хотите строго ограничить доступ, вы ' Нам больше повезет с репликацией данных из AD в другой каталог LDAP ( Active Directory Lightweight Directory Services (AD LDS) или OpenLDAP, например) с более ограниченными разрешениями, чем у Active Directory по умолчанию.

Возможно, вам удастся найти прокси-сервер LDAP, который сделает то же самое. Их много, но ни один из них, с которым у меня не было прямого опыта, я мог бы поручиться.