0
さまざまなシステムでLDAPクエリを実行するために使用されるドメインアカウントがいくつかあります。これらのアカウントが私たちの広告のすべてのOUを照会できるようにはしません。セキュリティグループのLDAPクエリを制限する
- @ドメインレベル認証されたユーザーすべてのOUへの読み取りアクセス権。
- これらのアカウントが所属するセキュリティグループが作成されました。
- 許可されたセキュリティグループユーザーが照会できる3つのOUへの読み取りアクセス権。
- ユーザーが含まれている他のすべてのOUに対してフルコントロールの権限を拒否しました。
アカウントを使用しているシステムの1つは、当社のコピー機です。ディレクトリのグローバル検索では、依然として構成済みのOU内に存在するユーザーが引き上げられています。
これがどう起こっているのかわかりません。
思考?
セキュリティを完全コントロールレベルで拒否するように構成すると、一覧の内容、すべてのプロパティの読み取り、および読み取りのアクセス許可を含む一覧内のすべての項目が自動的にチェックされます。 拒否権限が、すべての子孫オブジェクトにプッシュされていることを確認しました。このオブジェクトには、コピー元からルックアップできるユーザーが含まれています。 – JamesA
明確にするために、拒否をOUに置き、そのOUの下にあるすべての下位OU、セキュリティグループ、およびユーザーが継承された拒否アクセス許可を受けていることを確認しました。 – JamesA
ユーザーが表示/照会できるようにしたくないユーザーのセキュリティタブに移動した場合は、[詳細設定]の[有効なアクセス許可]タブに移動し、クエリを実行しているアカウントに入力します。ショー? – ChadSikorra