Jim*_*Jim 6 permissions active-directory
我们需要向服务 ID 授予将目录更改复制到 Active Directory 的权限。人们担心我们可能会不小心让服务 ID 在 Active Directory 中写入数据,或者有人滥用服务 ID 并更改 Active Directory 数据。
有人知道什么是“复制目录更改”的一部分吗?
现有的答案并没有满足我的好奇心,我不希望人们从我的目录中获得超出他们需要的东西。所以我做了更多的挖掘。
主要信息在这里:
http://support.microsoft.com/kb/891995
分解:
如果您想将程序的数据库与 AD(如 sharepoint/FIM)同步,您可以通过两种方式询问 AD 自上次查询以来发生了什么变化。
您可以使用“DirSync”控件(LDAP 协议扩展),或者您可以去某种贫民窟,只使用 uSNChanged 轮询 - 但那里有限制。
“DirSync 控件搜索返回对 Active Directory 对象所做的所有更改,而不管对象上设置的权限如何。” 它甚至会返回墓碑对象。
因此,要使用 DirSync LDAP 控件,您需要“复制目录更改”,或者成为域管理员。
从我能够收集到的信息来看,唯一可怕的是他们几乎可以读取目录分区中的任何内容,而不管标准权限如何。他们不能改变任何事情。
但是 - 您的目录中可能有一些敏感的属性。
有关 DirSync 控制扩展的更多信息,请访问:
https://msdn.microsoft.com/en-us/library/ms677626(v=vs.85).aspx
真实测试:使用 DirSync 控件连接到 AD
这是您自己找出答案的真正方法。这个人就是男人。如果您想亲眼看看 - 调整这个 powershell 示例,以您授予权限的用户身份运行它,并查询用户对象(或其他内容)。
http://dloder.blogspot.com/2012/01/powershell-dirsync-sample.html
我检查了我们的 Sharepoint 帐户,看看我能得到什么。在我授予权限之前,我在尝试使用 DirSync 控件时遇到了拒绝访问异常。
一旦我这样做了,我就找回了用户帐户上的几乎所有内容:
在用户查询中返回的与安全相关的显着属性,我很确定您通常无法在没有提升权限的情况下看到这些属性:
我还检查了一个附加了 bitlocker 恢复密码的计算机帐户,并且该属性在返回的结果中不可用。
如果您的环境中曾经有过 Unix 服务并同步过密码 - 您可能会在此处保留剩余数据。我们的一位长期存在的用户在他的帐户上设置了此设置。通过尝试对其进行变体,破解此密码可能会导致当前密码。
这已从我们的环境中删除,因此新用户在此处没有任何数据。
http://support.microsoft.com/kb/303972
注意 使用任一方法,为林中的每个域设置“复制目录更改”权限都可以发现 Active Directory 林中域中的对象。但是,启用连接目录的发现并不意味着可以执行其他操作。
要使用非管理帐户创建、修改和删除 Active Directory 中的对象,您可能需要根据需要添加其他权限。例如,对于要在组织单位 (OU) 或容器中创建新用户对象的 Microsoft 元目录服务 (MMS),必须明确向正在使用的帐户授予“创建所有子对象”权限,因为不授予“复制目录更改”权限。足以允许创建对象。
以类似的方式,删除对象需要删除所有子对象权限。
其他操作(例如属性流)可能存在限制,具体取决于分配给相关对象的特定安全设置,以及继承是否是一个因素。
| 归档时间: |
|
| 查看次数: |
28595 次 |
| 最近记录: |