0
我们有几个域帐户用于为各种系统执行LDAP查询。我们不希望这些账户能够查询我们AD中的所有OU。限制安全组的LDAP查询
- @域级别我们给了Authenticated Users读取所有OU的访问权限。
- 创建这些帐户所属的安全组。
- 授予安全组读取我们拥有应该能够查询的用户的三个OU的访问权限。
- 已颁发拒绝所有其他包含用户的OU的完全控制权。
使用帐户的系统之一是我们的复印机。对目录的全局搜索仍在拉高配置了denys的OU中存在的用户。
不知道这可能如何发生。
想法?
当您将安全性配置为完全控制级别的拒绝时,它会自动检查列表中的所有项目,其中包括列表内容,读取所有属性和读取权限。 我们验证了拒绝权限已推送到所有后代对象,其中包括我们可以从复印机查找的用户。 – JamesA
要明确,我们将拒绝置于OU,并验证该OU下的所有从属OU,安全组和用户都已收到继承的拒绝权限。 – JamesA
如果您转到其中一个不希望他们能够查看/查询的用户的安全选项卡,然后转到高级下的有效权限选项卡并输入执行查询的帐户,那么有效权限是什么显示? – ChadSikorra