none
active directory explorer: qualsiasi utente visualizza informazioni del dominio RRS feed

  • Domanda

  • Buongiorno,

    cercando in rete ho trovato il tool Microsoft Active Directory Explorer che permette di visualizzare le informazioni di un dominio.
    Se accedo con l'account di un comune utente vedo tutti i dati relativi ai computer e agli utenti presenti sul dominio.
    Vorrei sapere se questo è normale oppure devo cambiare qualche impostazione sul controller Active Directory.
    mercoledì 21 marzo 2012 11:36

Risposte

  • Il comportamente del tuo database Active Directory è normale.

    Molte informazioni di A.D. devono essere esposte (almeno in lettura) ai domain users per permettere le normali funzionalità.

    La situazione poi, è ancora più "aperta" nel caso in cui tu abbia mantenuto la compatibilità con l'ambiente "pre-Windows 2000".

    La cosa viene approfondita in questo articolo http://www.windowsecurity.com/articles/Active-Directory-information-exposed-users.html ma se accetti un'opinione assolutamente personale, ti sconsiglierei chiusure a livello di A.D. a meno che tu non abbia un motivo stringente.


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    VMware Certified Professional on vSphere 4
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com

    • Proposto come risposta Fabrizio Volpe mercoledì 21 marzo 2012 12:35
    • Contrassegnato come risposta Anca Popa venerdì 23 marzo 2012 10:17
    mercoledì 21 marzo 2012 12:35

Tutte le risposte

  • quando lo esegui la prima volta dovresti trovarti questo


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    mercoledì 21 marzo 2012 12:17
    Moderatore
  • ok grazie.

    sono già riuscito ad utilizzare questo tool.
    la mia domanda però è questa:
    è normale che qualsiasi utente del dominio può visualizzare tutte queste informazioni (come ad esempio SO dei client, nome completo di una persona, ultimo login, ecc)?
    Oppure devo adottare qualche policy per evitarlo?

    mercoledì 21 marzo 2012 12:23
  • Il comportamente del tuo database Active Directory è normale.

    Molte informazioni di A.D. devono essere esposte (almeno in lettura) ai domain users per permettere le normali funzionalità.

    La situazione poi, è ancora più "aperta" nel caso in cui tu abbia mantenuto la compatibilità con l'ambiente "pre-Windows 2000".

    La cosa viene approfondita in questo articolo http://www.windowsecurity.com/articles/Active-Directory-information-exposed-users.html ma se accetti un'opinione assolutamente personale, ti sconsiglierei chiusure a livello di A.D. a meno che tu non abbia un motivo stringente.


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    VMware Certified Professional on vSphere 4
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com

    • Proposto come risposta Fabrizio Volpe mercoledì 21 marzo 2012 12:35
    • Contrassegnato come risposta Anca Popa venerdì 23 marzo 2012 10:17
    mercoledì 21 marzo 2012 12:35