в Active Directory, управляемой Samba 4, я должен привязать какое-то приложение, чтобы оно могло использовать и выбирать пользователей и группы из Active Directory.
Для этого я обычно использую специального пользователя, который принадлежит к группе администраторов домена.
Но ... я не хочу создавать для этого такого сильного пользователя!
Есть ли способ создать непривилегированного пользователя, который:
?
Любой авторизованный (после операции привязки LDAP) пользователь домена Acrive Directory по умолчанию может искать других пользователей в домене. Он подходит для вашей задачи.
Я говорю о возможности наличия авторизованного поиска под любым пользователем домена. Тем не менее, я не раз сталкивался с плохо написанными приложениями (в том числе и корпоративными) - с такими приложениями приходится разбираться индивидуально.
Мы также должны выделить такие приложения, как samba (или содержащие samba) - учетные данные администратора домена, которые им нужны только для выполнения операции присоединения к домену - эти учетные данные не сохраняются и используются только один раз.
К сожалению, вы не можете ограничить хосты, к которым пользователь домена может выполнять привязку LDAP. Но вы можете с помощью политики домена запретить такой интерактивный вход пользователя в систему на компьютерах windose в домене:
Computer Configuration/ Windows Settings/Security Settings/Local Policies/User Rights Assignment Добавьте группу безопасности «Учетные записи служб» в Deny log on locally и Deny log on through Terminal Services