Я знаю, что некоторые атрибуты в AD классифицируются как личная информация, а некоторые - как общедоступная (см. Столбец «Набор свойств» здесь - http://www.kouti.com/tables/userattributes.htm).
Мой вопрос: как использовать эту информацию, чтобы скрыть эти атрибуты, когда пользователи входят в систему с определенного компьютера. Я думаю, это был бы отличный дополнительный уровень защиты от утечки данных, если бы вы планировали разместить компьютер в общественном месте. Если компьютер был скомпрометирован, это должно ограничить объем данных, которые могут быть выгружены из AD.
Я не хочу ограничивать доступ к этим атрибутам на основе учетной записи пользователя, я хочу ограничить доступ только к атрибутам, классифицированным как «личная информация» с определенного компьютера.
Вам нужно будет ограничить его на основе учетной записи пользователя, то есть объекта учетной записи, который будет "читать" эту информацию на основе набора свойств "Личная информация", а не объекта компьютера.
Если вы хотите ограничить доступ компьютера к информации AD, основываясь на вашем «размещении в общедоступном месте», вам лучше оставить компьютер не присоединенным к домену и вместо этого использовать на нем локальную аутентификацию. Он по-прежнему может получать доступ к корпоративным ресурсам с помощью RUNAS, RemoteApps или чего-то подобного, что дает этому компьютеру доступ к нужным ему ресурсам.
Если у пользователя в настоящее время есть доступ для чтения этих атрибутов, и вы хотите запретить им читать эти атрибуты только в определенных местах, то единственное, что, как мне кажется, может помочь, - это контроллер домена только для чтения с FAS (набор фильтрованных атрибутов).
http://technet.microsoft.com/en-us/library/cc753459%28v=ws.10%29.aspx
Вам нужно настроить контроллер домена только для чтения, чтобы эти общедоступные машины указывали только на этот DC. Затем вы можете расширить стандартный набор фильтрованных атрибутов, включив в него атрибуты, которые вы хотите скрыть (пометить как конфиденциальные). Это предотвратит чтение этих атрибутов на контроллере домена только для чтения.
Это фактически указано как одно из преимуществ RODC.
http://technet.microsoft.com/en-us/library/cc770320%28v=ws.10%29.aspx
Могут быть и другие способы, но я не совсем уверен, я здесь просто новичок.