ОС сервера = Windows Server 2008 R2 Std (контроллер домена)
Клиентская ОС = windows XP и 7
Каждый раз, когда мы добавляем ноутбук / настольный компьютер в домен. После этого, если пользователь хочет получить информацию о некоторых объектах / других пользователях отдела, такую как адрес электронной почты, отдел, номер мобильного телефона, должность и т. Д., Он может легко получить, выполнив запрос LDAP, верно? Есть ли способ защитить такую информацию? Пожалуйста, поправьте меня, если я ошибаюсь?
Это верно. Эта информация доступна как часть LDAP. Вы можете заблокировать AD с помощью делегирования и изменения прав безопасности, но я бы не рекомендовал это.
Да, разрешения безопасности по умолчанию в Active Directory предоставляют всем пользователям доступ для чтения к большинству атрибутов объектов в каталоге, включая других пользователей.
Если удаление этой возможности необходимо для удовлетворения требований безопасности вашего бизнеса, к сожалению, это не так просто, как изменение разрешений для подразделения / контейнера, в котором находятся ваши конфиденциальные пользователи. Разрешения, предоставляющие доступ для чтения к этим атрибутам, фактически не наследуются от их контейнера. Они устанавливаются непосредственно на объекте во время создания.
Чтобы изменить это, вам необходимо отредактировать схему AD и изменить ACL безопасности по умолчанию для пользовательского класса в соответствии с вашими требованиями безопасности. Безусловно, это деликатная операция. Но в отличие от других изменений схемы, это полностью обратимо (просто измените разрешения обратно).
Это также не повлияет задним числом на уже существующих пользователей. Вам нужно будет вернуться постфактум и использовать такой инструмент, как dsacls для сброса пользователей до их разрешений безопасности по умолчанию из схемы.
Имейте в виду, что многие приложения, которые обращаются к Active Directory, будут предполагать наличие разрешений безопасности по умолчанию и могут выйти из строя по странным причинам, если не смогут прочитать эти атрибуты пользователя. Поэтому убедитесь, что все приложения, которым требуется доступ, работают с учетными данными, которым был предоставлен явный доступ для чтения атрибутов, которые им важны.