@vittmann
С AD никогда плотно не работал, оттого возник вопрос правильной организации безопасности.
В куче best practice мануалов рекомендуют, например, отключите встроенного Administrator, вместо него создайте другого юзера с тем же набором привилегий. Более того, эту супер привилегированную учетку не юзайте почти никогда, а, мол заведите себе для администрирования несколько учеток, с разным уровнем привилегий. Ок, вроде толково.
Но вот все Authenticated Users могут просматривать все объекты домена, в т.ч атрибуты юзеров и вычислить, кто же там имеет привилегии Domain User и т.д. Да и просто видеть структуру домена (которая очень часто говорит о структуре организации)
Нашел примеры ,как можно эту видимость отключить (причем, по хорошему, надо бы чтобы юзеры не видели ничего дальше своих OU) https://windowsnotes.ru/activedirectory/active-dir…
Однако тут уже предлагают редактировать с помощью ADSIEdit, что в большинстве случаев не рекомендуют. Плюс где-то натыкался на упоминания, что подобное поведение может привести к проблемам работы GPO (ибо юзеры не будут их видеть), хз насколько правда.
Как вы решаете этот вопрос? Надуманная ли вообще проблема?
Решения вопроса 0
Ответы на вопрос 2
@vesper-bot
По поводу статьи — описанное изменение не должно поломать GPO, так как разрешения на них вам желательно не исправлять, а прятать только нечто более-менее критичное с точки зрения безопасности, а-ля группы domain admins и подобное. А прятать сами OU и других пользователей несколько нелогично, можно поломать что-то из инфраструктуры неочевидным образом (скажем, сбор адресной книги Exchange’м).
Использование ADSIEdit в статье может быть оправдано, но только в той мере, в которой указано, а иногда и меньше, но конкретно этот параметр описан тут https://docs.microsoft.com/en-us/openspecs/windows… и тут сказано, что если вдруг в параметре есть хоть что-то, менять стоит только один символ — в данном случае третий слева. И конкретно это изменение само по себе ничего не сломает.
@CityCat4
А вот модифицировать что-то в схеме AD вообще — это чревато проблемами. Софт, даже от M$ может ничтоже сумняшеся полагать что нечто находится в некотором состоянии, в котором оно находится всегда. Если в Вас оно не так — получите совершенно непонятную ошибку или программа просто работать не будет.
Если нужно спрятать некоторые обьекты — ну создайте отдельное OU, дайте необходимые права, остальные отберите.