限制安全组

时间:2016-11-16 19:32:51

标签: security permissions active-directory

我们有一些域帐户用于为各种系统执行LDAP查询。我们不希望这些帐户能够查询AD中的所有OU。

  • @ domain level我们为Authenticated Users提供了对所有OU的读访问权。
  • 创建了这些帐户所属的安全组。
  • 授予安全组读取对我们拥有应该能够查询的用户的三个OU的访问权限。
  • 对包含用户的所有其他OU发布拒绝完全控制权。

使用帐户的系统之一是我们的复印机。对目录的全局搜索仍在提升已经配置了denys的OU中存在的用户。

不确定这是怎么发生的。

思想?

1 个答案:

答案 0 :(得分:1)

仅对对象所在的OU进行拒绝是不够的。权限需要拒绝:

  • 列出内容
  • 阅读所有属性
  • 阅读权限

它需要应用于"此对象和所有后代对象"在有问题的OU上。

相关问题
最新问题