背景:应用程序需要创建用户对象以包含各种用户信息。这些用户对象的存在只是为了他们的数据,用户对象不应该能够登录、访问文件或做任何事情。此外,由于应用程序的功能,用户对象不能被禁用。
用户对象在创建时默认具有什么级别的访问权限(假设具有 DC 和文件服务器的典型简单域)?需要做些什么来锁定这些用户对象以使该访问无效?
AskOverflow.Dev
背景:应用程序需要创建用户对象以包含各种用户信息。这些用户对象的存在只是为了他们的数据,用户对象不应该能够登录、访问文件或做任何事情。此外,由于应用程序的功能,用户对象不能被禁用。
用户对象在创建时默认具有什么级别的访问权限(假设具有 DC 和文件服务器的典型简单域)?需要做些什么来锁定这些用户对象以使该访问无效?
默认情况下,用户帐户对 AD 中的大多数其他对象及其属性具有读取权限。您可以通过分配一个长的随机密码并为这些帐户创建一个特殊的安全组来最小化访问。在默认域策略中,为该组分配位于计算机配置 > 策略 > Windows 设置 > 安全设置 > 用户权限分配中的以下 Windows 权限:
如果无法将帐户标记为禁用,您可能需要测试其他帐户属性是否可以有效防止帐户被使用,例如将帐户标记为已过期(帐户选项卡 > 将过期日期设置为过去),和/或需要智能卡。