Cum poti ascunde Organizational Unit-uri in Active Directory
Pe vremuri raspundeam la intrebarea asta cu nu se poate, insa pe parcurs am aflat si eu cateva metode prin care ai putea sa faci anumite OU-uri invizibile pentru anumiti administratori. Atentie ca nu ma refer la Domain Admins.
By default orice user din AD are drept de Read & List Contents peste toate obiectele din AD, asta fiind motivul pentru care toate obiectele sunt vizibile din ADUC.
Dar sa luam cazul in care vrem sa gazduim in AD-ul nostru doua companii iar administratorii delegati peste obiectele din AD nu au voie sa vada decat OU-ul companiei lor. Daca am lasa totul default, lucrurile ar arata asa:
Iar daca am scoatem Authenticated Users din ACL-ul companiei B si ne conectam cu un user normal:
Ii blocam cumva accesul user-ului la acel OU insa tot il va vedea, ca Unknown bineinteles pentru ca nu ii poate citi nici macar ACL-ul.
Ca sa facem sa dispara complet acel OU, e nevoie sa activam List Object Mode. Asta se face activand DsHeuristics pe 001 (mai exact al treilea bit trebuie setat pe 1; daca aveti si alti biti setati, lasati-i in pace).
Detalii la http://technet.microsoft.com/en-us/library/dd346510.aspx
Setarea se aplica la nivel de forest. Nu este necesar reboot.
Imediat dupa modificare putem vedea ca in ACL-uri apare si List Object:
Ca sa facem sa dispara un OU, de exemplu “Company B”, e nevoie sa scoatem List Contents de pe containerul Hosting:
Iar pe containerul Company B, scoatem si List Contents si List Object (merge si daca scoatem List Object, insa List Contents va bloca si queryurile LDAP):
Iar rezultatul este urmatorul:
Pe scurt: List Contents scos de pe containerul parinte, List Object si List Contents de pe child.
Ce am facut eu pana acum a fost doar sa restrictionez vizibilitatea acestui OU pentru Authenticated Users, mai departe puteti asigna permisiuni de Read/List Contents/List Object pentru userii/grupurile ce vor avea access.
ATENTIE la grupul Pre-Windows 2000 Compatible Access. Daca aveti activata aceasta optiune, atunci Authenticated Users o sa faca parte din acest grup. Ori dati remove ori modificati permisiunile si pentru Pre-Windows 2000 pentru ca altfel nu o sa mearga.
Si cam asta e tot, pentru intrebari va astept pe forum.