none
Ограничить видимость объектов Avtive Directory для пользователей RRS feed

  • Вопрос

  • Здравствуйте Коллеги,

    Имею КД Windows 2008R2, схема 2008R2.

    Столкнулся со следующей проблемой:

    Есть необходимость ограничить видимость объектов AD пользователям.

    т.е. есть приложение, если в приложении пользователь открывает консоль управления пользователями - программа делает list object=user к контроллеру домена. ВОпрос следующий: Можно ли ограничить видимость таким образом, чтобы пользователь запрашивая объекты users с КД видел только объекты находящиеся с ним в одном ОУ.

    Заранее спасибо за ответы.

    6 июня 2012 г. 12:43

Ответы

  • Не специалист по exchange, но могу предположить, что там сделан внешний фильтр, который к ad прямого отношения не имеет. То есть учётки, не входящие в ou, не включаются в ответ на запрос списка пользователей. Если же вам жизненно необходимо такое ограничение, то наверно придётся писать собственное ПО, редактирующее ACL-объектов в соответствии с вашими потребностями. Это возможно, но придётся следить, чтобы создаваемые объекты ad имели тот список доступа, который вам нужен. На момент написания данного поста нет возможности проверить, но как помню (поправьте, если не так), то при создании объекта в службе каталогов на доступ к нему с правом чтения даются прямые полномочия (не наследуемые) группе прошедших проверку. Таковых из ACL придётся вычищать.

    • Помечено в качестве ответа AlexLine 7 июня 2012 г. 10:29

Все ответы

  • но зачем??
    делать это не рекомендуется

    6 июня 2012 г. 15:29
    Модератор
  • но зачем??
    делать это не рекомендуется

    пользователи не должны видеть кого либо кроме своего ОУ. так как каждое ОУ это фактически независимая организация.

    6 июня 2012 г. 17:28
  • это ересь, читайте матчасть по ad, особенно про границы безопасности и администрирования. независимые организации должны быть в независимых доменах и лесах.
    6 июня 2012 г. 19:07
    Модератор
  • это ересь, читайте матчасть по ad, особенно про границы безопасности и администрирования. независимые организации должны быть в независимых доменах и лесах.

    Именно так наверное Microsoft реализовало MS Exchange 2010 в multi tenant mode? Или майкрософт сделали ересь, ничего не понимают в матчасти ad? В эксчендж администратор организации видит только свою организацию, и никакие более.


    • Изменено AlexLine 7 июня 2012 г. 7:58
  • Не специалист по exchange, но могу предположить, что там сделан внешний фильтр, который к ad прямого отношения не имеет. То есть учётки, не входящие в ou, не включаются в ответ на запрос списка пользователей. Если же вам жизненно необходимо такое ограничение, то наверно придётся писать собственное ПО, редактирующее ACL-объектов в соответствии с вашими потребностями. Это возможно, но придётся следить, чтобы создаваемые объекты ad имели тот список доступа, который вам нужен. На момент написания данного поста нет возможности проверить, но как помню (поправьте, если не так), то при создании объекта в службе каталогов на доступ к нему с правом чтения даются прямые полномочия (не наследуемые) группе прошедших проверку. Таковых из ACL придётся вычищать.

    • Помечено в качестве ответа AlexLine 7 июня 2012 г. 10:29
  • это ересь, читайте матчасть по ad, особенно про границы безопасности и администрирования. независимые организации должны быть в независимых доменах и лесах.

    Именно так наверное Microsoft реализовало MS Exchange 2010 в multi tenant mode? Или майкрософт сделали ересь, ничего не понимают в матчасти ad? В эксчендж администратор организации видит только свою организацию, и никакие более.



    ну наверное не надо путать exchange и ad, это разные вещи.
    7 июня 2012 г. 14:15
    Модератор