Когда я экспериментирую с обычным доменом Active Directory, я замечаю, что обычный пользователь может войти в Active Directory Users and Computers (dsa.msc) и в Консоль управления групповой политикой (gpmc.msc) и просмотреть конфигурацию в обоих соответствующих сервисы (AD и групповая политика).
Кроме того, я также заметил, что пользователь может искать объекты AD в домене. Из чистого любопытства, как бы мне запретить доступ пользователей к ним, если бы я собирался сделать это в целях безопасности, не нарушая при этом никаких других функций?
Я использую Server 2016 с функциональным лесом Server 2016 и уровнем домена. Все узлы являются либо рядовыми серверами Server 2016, либо клиентами Windows 10.
Из это объяснение ограничения прав в Active Directory:
По умолчанию обычные пользователи домена имеют доступ на чтение практически ко всему в доменах AD, включая пользователей, группы, организационные подразделения (OU) и объекты групповой политики (GPO).
...
Единственный способ ограничить пользователей - ограничить разрешения на чтение для объектов, которые вы не хотите, чтобы пользователи могли читать. Однако будьте осторожны при ограничении доступа для чтения к объектам AD, иначе вы можете столкнуться с проблемами. Например, если у пользователей нет доступа на чтение к другим пользовательским объектам, они не смогут использовать Microsoft Exchange Server для поиска получателей почты. И если вы запретите пользователям доступ на чтение к объектам групповой политики, настройки, которые вы настроите в разделе «Конфигурация пользователя» в этих объектах групповой политики, не будут применяться.