Active-Directory
未應用域範圍拒絕 ACL?
我在我的實驗室中測試了一些東西:我創建了一個帳戶,然後向域添加了一個拒絕 ACL,應用到該域和所有後代對象,拒絕完全控制。但是,我發現使用 adfind 作為被拒絕的帳戶,我仍然能夠列出使用者(但某些屬性被隱藏了)!
我發現當僅對使用者應用拒絕完全控制 ACL 時,會導致使用者被隱藏。但是,繼承的權限會顯示出來,並且似乎拒絕一切。
為什麼繼承的 ACL 不足以阻止使用者列出?
本例中的平台是 windows server 2008 R2。
事實證明,顯式允許 ACL 優先於繼承的拒絕 ACL,並且對於經過身份驗證的使用者,每個對像都有顯式 ACL。唉; 這樣做的唯一方法是剝奪經過身份驗證的使用者對需要隱藏的任何內容的權限,或者為每個此類對象添加顯式 ACL。
這使得拒絕使用者訪問以列舉域中的任何內容變得異常困難,唉。
使用者可以查看容器的所有子對象,除非他們被拒絕在容器上查看子對象的權限。
控制對象可見性
http://msdn.microsoft.com/en-us/library/windows/desktop/ms675746%28v=vs.85%29.aspx
“Active Directory 域服務提供對被拒絕某些權限的使用者隱藏對象的能力。如果隱藏對象,使用使用者憑據執行的應用程序將無法列舉或綁定到該對象。
“如果使用者被授予對容器的 ADS_RIGHT_ACTRL_DS_LIST 訪問控制權限,*則使用者可以查看容器的任何子對象。*同樣,如果使用者被拒絕對容器的 ADS_RIGHT_ACTRL_DS_LIST 訪問控制權限,則使用者無法查看任何容器的子對象。這允許隱藏整個容器的內容。