Как новый администратор AD для нашего домена Server 2003, я недавно обратил внимание на то, что любой аутентифицированный пользователь может запускать DSQuery и DSGet на любой из машин, входящих в наш домен. Они даже могут запустить его с USB-накопителя. Мне нужно настроить Active Directory, чтобы ограничить DSQuery и DSGet определенными группами безопасности, но пока не нашел даже намека на такую возможность. Любые идеи?
Чего вы пытаетесь достичь, ограничивая их таким образом? Каждый пользователь в AD должен иметь доступ для чтения к AD, чтобы он мог выполнять поиск и получать необходимую информацию для аутентификации и авторизации.
Если вас действительно беспокоит ограничение этих двух программ (что не помешает им использовать что-то еще, считывающее информацию из LDAP), вы можете предотвратить использование этих программ через GPO. (Конфигурация пользователя -> Шаблоны администратора -> Система -> Политика -> Не запускать указанные приложения Windows).
Это действительно похоже на попытку сделать безопасность неизвестностью ... которая того не стоит.