Welcome to TechNet Blogs Sign in | Join | Help

Greek Active Directory Blog

Τα πάντα για το Active Directory, αποκλειστικά στα ελληνικά.

News

  • Αρχίσαμε χάρη στις προσπάθεις των παιδιών της Microsoft Hellas στο autoexec.gr, και συνεχίζουμε στο Technet! Σιγά σιγά ελπίζω και με την βοήθειά σας να χτίσουμε μια πηγή πληροφοριών για τους Έλληνες επαγγελματιες.
Hide objects in Active Directory from specific users

Γεια σας, είμαι o Sof! Μπαίνω και εγώ στο trend των ημερών, το outsourcing. Σήμερα θα δούμε πώς μπορούμε να κρύψουμε συγκεκριμένα objects του Active Directory από επιλεγμένους χρήστες ή Groups.

Παίρνουμε για παράδειγμα το εξής σενάριο .Έχουμε ένα Active Directory Integrated Application που τρέχει στο περιβάλλον μας. Αυτό το application εξυπηρετεί δύο διαφορετικές τράπεζες. Σκοπός μας είναι να μην αφήνουμε τους χρήστες της τράπεζας Α να μπορούν να δουν τα Active Directory objects της τράπεζας Β.

Η λύση σε αυτό το πρόβλημα περιγράφεται εδώ:

Controlling Object Visibility

Καταλάβατε κάτι από το παραπάνω άρθρο; Εγώ ειλικρινά χρειάστηκε να το διαβάσω 5-6 φορές μέχρι να βρω τι παίζει.

Ας δούμε παρέα πως γίνεται.

1) Ανοίγουμε το Active Directory Users and Computers. Δημιουργούμε δύο Organizational Units (OUs), μια για κάθε τράπεζα, μέσα στο ΟU θα βρίσκονται όλα τα objects (users, computers κοκ) της τράπεζας. Δημιουργούμε δύο χρήστες, έναν για κάθε OU για τεστ.

image001

Αν δηλωθούμε σε ένα workstation ως BankA_User και θέλουμε να δώσουμε δικαιώματα σε ένα φάκελο, θα δούμε ότι ψάχνοντας στο Active Directory για ονόματα, ο χρήστης της άλλης τράπεζας είναι μέσα στην λίστα μας.

image003

Προφανώς αυτό δεν πρέπει να συμβαίνει. Για αυτό λοιπόν προχωρούμε με τις ρυθμίσεις μας.

2) Στο Active Directory Users and Computers κάνουμε κλίκ στο View--> Advances Features.image005

3) Κάνοντας δεξί κλικ επάνω στο Bank B OU --> Properties, παρατηρούμε ότι το Security tab του OU είναι πλέον διαθέσιμο. Στα security settings του Bank B OU προσθέτουμε τον χρήστη BankA_User, και κάνουμε deny στο Read.

image007

4) Αν πάμε τώρα στο workstation που είμαστε δηλωμένοι ως BankA_User και προσπαθήσουμε να επιλέξουμε χρήστες για να τους δώσουμε δικαιώματα στα αρχεία μας, θα δούμε ότι ο χρήστης της άλλης τράπεζας BankB_User δεν είναι εκεί. Αυτό ισχύει φυσικά για οποιοδήποτε άλλο object εντός του OU.

Τα παραπάνω είναι απλά ενδεικτικά. Σε κανονικά περιβάλλοντα δεν είναι δυνατόν να κάνουμε deny σε κάθε χρήστη ξεχωριστά. Μπορούμε όμως να ακολουθήσουμε την ίδια μεθοδολογία με Groups.

image009

Εφόσον κάνουμε τις παραπάνω ρυθμίσεις. οποιοδήποτε application τρέχει με τα credentials του χρήστη από την τράπεζα Α θα του αρνείται η πρόσβαση σε αντικείμενα της τράπεζας Β.

Θα χαρώ να απαντήσω σε ερωτήσεις! Θα τα πούμε σύντομα!

Posted: Wednesday, December 10, 2008 2:12 PM by SOF
Filed under: ,

Comments

vinayagamoorthy said:

Good to See the options to hide the Active Directory Objects from the users.

is it possible to hide the objects from OU or other AD objects?.

Thanks in Advance.

Regrads,

Vinayagamoorthy

# December 10, 2008 10:33 AM

SOF said:

Hello!

thanks for your comment! You can set a specific deny to every container you like, but you must be sure that hiding all objects of that container will not break your environment. So yes you can hide other objects too.

I haven't tested that for upper level containers but I am sure this will cause a lot of problems. For example if you cant read a Group Policy object this group policy will not apply.

With dsHeuristics attribute you can exclude specific objects from the denying rule. BUT dsHeuristiccs affects the performance of Active Directory.

So my suggestion is... put the objects you want to hide in a container and deny read access for the users you dont want to see the objects.

Greetings

Sof

# December 10, 2008 10:59 AM
Anonymous comments are disabled
Page view tracker