允许用户仅在Active Directory中的自己的OU中枚举帐户的策略

时间:2009-01-01 18:01:22

标签: active-directory

是否可以定义限制用户仅枚举其自己的OU中的帐户的策略?

例如,我们考虑一个域Contosos和OU Sales和HR.Sales OU有两个用户A和B,HR OU有用户C和D.

是否可以定义一个策略,以便A只能枚举帐户A和B,C只能枚举C和D,而不能枚举不在其OU中的帐户?

2 个答案:

答案 0 :(得分:1)

不要那样做!

但是,您可以为每个OU创建一个组,并将ou用户放入组中。您可以更改每个其他OU的权限,以拒绝该组的“列表内容”权限。我不认为有一种方法可以在没有脚本的情况下配置它。但由于规则很简单,因此可以编写脚本。

那就是说。我建议你不要在没有关于这个特定主题的专家组的情况下不敢更改活动目录默认权限。只需点击几下,您就可以轻松渲染网络。即使你不这样做,也有可能那些期望来自活动目录安全性的程序(甚至没有意识到这一点)将遭受微妙的错误。

所以规则是。如果你不得不问,不要这样做。如果你需要成为专家,那么:

http://www.google.com/search?hl=en&q=active+directory+permission+site:microsoft.com&btnG=Search

更新:“如果您需要询问”规则是指在这样的公共网站上提问。像我这样的非专家可以给你潜在的误导性信息,就像我的一样(我希望不是,但......)。我不确定您的要求没有简单的解决方案。  但据我所知,这条道路焚烧的勇敢灵魂不止于此。

答案 1 :(得分:0)

好点! 我自己也不知道怎么做,但Igal Serban的回答让我感动。他是对的,在公共论坛上,如果你采取不成熟的建议,你会为此付出很多。我曾经因为这样的原因咬过一口。

阅读一些书籍或咨询一些专家!