0
我們有幾個域帳戶用於爲各種系統執行LDAP查詢。我們不希望這些賬戶能夠查詢我們AD中的所有OU。限制安全組的LDAP查詢
- @域級別我們給了Authenticated Users讀取所有OU的訪問權限。
- 創建這些帳戶所屬的安全組。
- 授予安全組讀取我們擁有應該能夠查詢的用戶的三個OU的訪問權限。
- 已頒發拒絕所有其他包含用戶的OU的完全控制權。
使用帳戶的系統之一是我們的複印機。對目錄的全局搜索仍在拉高配置了denys的OU中存在的用戶。
不知道這可能如何發生。
想法?
當您將安全性配置爲完全控制級別的拒絕時,它會自動檢查列表中的所有項目,其中包括列表內容,讀取所有屬性和讀取權限。 我們驗證了拒絕權限已推送到所有後代對象,其中包括我們可以從複印機查找的用戶。 – JamesA
要明確,我們將拒絕置於OU,並驗證該OU下的所有從屬OU,安全組和用戶都已收到繼承的拒絕權限。 – JamesA
如果您轉到其中一個不希望他們能夠查看/查詢的用戶的安全選項卡,然後轉到高級下的有效權限選項卡並輸入執行查詢的帳戶,那麼有效權限是什麼顯示? – ChadSikorra