web-dev-qa-db-ja.com

特定のコンピューターからのActiveDirectory属性へのアクセスを制限しますか?

ADの一部の属性は個人情報として分類され、一部は公開情報として分類されることを知っています(ここの「プロパティセット」列を参照してください--- http://www.kouti.com/tables/userattributes.htm =)。

私の質問は、ユーザーが特定のコンピューターからログインしたときに、その情報を使用してこれらの属性を非表示にするにはどうすればよいかということです。コンピュータを公共の場所に置くことを計画している場合、これはデータ漏洩に対する優れた追加の保護層になると思います。マシンが危険にさらされた場合、これにより、ADからダンプできるデータの量が制限されます。

ユーザーアカウントに基づいてこれらの属性へのアクセスを制限したくはありません。特定のコンピューターから「個人情報」として分類された属性へのアクセスのみを制限したいのです。

windowsactive-directorysecurityattributes
2
Sapg

ユーザーが現在これらの属性を読み取るためのアクセス権を持っていて、特定の場所でのみそれらの属性を読み取らないようにしたい場合、トリックを実行できると思われるのは、FAS(Filtered Attribute Set)を使用したRODCだけです。

http://technet.Microsoft.com/en-us/library/cc753459%28v=ws.10%29.aspx

読み取り専用のドメインコントローラーをセットアップし、それらのパブリックマシンがそのDCのみを指すようにします。次に、デフォルトのフィルター済み属性セットを拡張して、非表示にする(機密としてマークする)属性を含めることができます。これにより、これらの属性をRODCで読み取ることができなくなります。

これは、実際にはRODCの利点の1つとしてリストされています。

http://technet.Microsoft.com/en-us/library/cc770320%28v=ws.10%29.aspx

他の方法もあるかもしれませんが、私にはよくわかりません。私はここの新しい人です。

1
New Guy

ユーザーアカウントに基づいて制限する必要があります。これは、コンピューターオブジェクトではなく、プロパティセット「個人情報」に基づいてこの情報を「読み取る」アカウントオブジェクトです。

「パブリックエリアに置く」ことに基づいて、コンピューターがADの情報にさらされるのを制限したい場合は、コンピューターをドメインに参加させず、代わりにローカル認証を使用することをお勧めします。それでも、RUNASやRemoteAppsなどを使用して企業のリソースにアクセスし、そのコンピューターに必要なリソースへのアクセスを許可することができます。

1
TheCleaner