解析暴露给用户的activedirectory信息

《解析暴露给用户的activedirectory信息》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、解析暴露给用户的ActiveDirectory信息～教育资源库　　当前，大多数IT专业人士处理的工作通常包括以下：　　物理访问　　通过防火墙的网络访问　　访问服务器上的服务　　对应用程序的访问　　IT人员的主要工作就是对上述领域进行保护，但是对于存储在ActiveDirectory上的信息呢?当使用iddot;WindoO)时，显示的是如图4的窗口：　　图4：ActiveDirectory安装权限设置向导　　注意到黄色的警告了吗?　　当你选择兼容性选项时，Pre-WindoO命令可以改变Pre-Windows2000patibilityAccess组成员涵盖匿名用户。　　图5显示的是

2、默认成员的一览表。12下一页友情提醒：，特别！　　图5：Pre-WindoO向导中选择了Yes来启用与windows2000以前版本的兼容权限　　**如果从Windows2000升级到2003，上述的启用同样适用　　我们假设，在你的环境中确实没有运行Windows98和WindowsNT4.0，一些多功能设备(如支持扫描和电子邮件的复制机器)使用AD来查找信息，你可能拥有使用Pre-Windows2000patibilityAccess组的设备。　　我们可以做些什么?　　我们能在AD中所看到的大部分信息都是企业客户所需要的，才能保证企业政策运作。有些信息是与工作相关的，有些不是，还有

3、些信息应该被保密。请使用标准域用户身份来检查域中的信息，并检查是否符合企业安全政策。　　Pre-Windows2000patibilityAccess安全组　　首先，你需要确保没有任何计算机使用该安全组，这包括Windows98、WindowsNT4.0以及需要使用完全读取权限或者空会话模式到服务器的方式来访问AD的其他设备。　　接下来，你需要从Pre-Windows2000patibilityAccess组中移除匿名登录组，Everyone组和验证用户组，可以使用AD用户和计算机以及命令行来移除这些组。　　最后一件事就是检查上述操作是否成功。　　如果你发现某个设备需要这种访问，而又

4、无法进行正确登录的配置，那么你当然可以添加该组，如果安全政策允许的话。否则，你需要从安装移除该设备。　　验证用户安全组　　笔者并不推荐部署否认规则，因为企业环境中的功能可能会受到影响，最终可能得到不受支持的AD。所以，除非是你非常肯定你需要否认的东西，你必须通过部署更好的密码政策来加强安全性和限制用户的工作站。　　在信息属性中设置保密标记　　对信息类别进行保密标记的话，就可以确保只有域管理员才可以读取保密信息，可以通过向属性中现有的searchFlag添加128来进行保密标记。　　该标记的要求就是，所有域控制器都需要运行windows2003服务器，而不管域和forest功能的级别，

5、可以使用ADSIEdit工具来设置保密标记。　　结论　　在本文中我们发现了普通用户可以在AD中查询到的一些信息，并讨论了如何通过对AD访问权限的限制来保护信息的安全等问题。上一页12友情提醒：，特别！