限制用户运行DSQuery和DSGet

Question

作为服务器2003域的新AD管理，最近我注意到，任何经过身份验证的用户都可以在我们的任何域成员计算机上运行DSQuery和DSGet。他们甚至可以从USB驱动器运行它。我需要配置Active Directory，以将DSQuery和DSGet限制在特定的安全组上，但到目前为止还没有发现这种可能性。有什么想法吗？

Answer 1

以这种方式限制他们，你想达到什么目的？AD中的每个用户都需要读取对AD的访问权限，以便它能够进行查找并获得所需的身份验证和授权信息。

如果您真的只关心限制这两个程序(这不会阻止他们使用从LDAP读取信息的其他东西)，您可以通过GPO阻止这些程序的使用。(用户配置->管理模板-> System -> Policy ->不运行指定的->应用程序)。

这听起来真像是用默默无闻来做保安.这根本不值得。