我不精通 AD,所以想解决我关于 AD 信息的问题。
我了解可以将组策略应用于 OU,从而限制访问。我想知道的是,是否可以对 OU 属性做同样的事情。
一些上下文会有所帮助。需要在 AD 中存储地址信息(IMO,很自然),但出于各种原因,虽然名称之类的东西显然应该是全局可访问的,但地址上需要访问限制。在这种情况下,是否可以对 OU 属性的地址部分应用安全性,或者是否必须将每个地址分成一个单独的 OU(鉴于地址没有身份,这种解决方案感觉很臭)?
AskOverflow.Dev
我不精通 AD,所以想解决我关于 AD 信息的问题。
我了解可以将组策略应用于 OU,从而限制访问。我想知道的是,是否可以对 OU 属性做同样的事情。
一些上下文会有所帮助。需要在 AD 中存储地址信息(IMO,很自然),但出于各种原因,虽然名称之类的东西显然应该是全局可访问的,但地址上需要访问限制。在这种情况下,是否可以对 OU 属性的地址部分应用安全性,或者是否必须将每个地址分成一个单独的 OU(鉴于地址没有身份,这种解决方案感觉很臭)?
组策略不是您要在此处查找的内容 - 您要查看的是对各种对象的访问权限和权限,更具体地说,是您要限制访问的那些对象的相关属性。这里有一篇关于 DACL 和 AD 对象\属性的基础知识的好文章,虽然它已经很老了,但它确实解释了如何修改它们。玩这些时你应该小心 - AD 中 ACL 的继承\复制行为使得事情的行为与你可能习惯于 DACL 和 NTFS 的行为有些不同,如果你犯了一个错误,你最终可能会破坏很多东西。