Комментарии 3
имхо, эту «полезную» информацию лучше вообще не хранить, тем более в AD
Чтобы сохранить к ней доступ для релевантных пользователей, я создал другой ACL, чтобы позволить членам VIP-группы (Cruella и другим ее высокопоставленным коллегам) получить доступ к этим конфиденциальным данным
Насколько знаю, deny имеет приоритет над permit, если оба заданы для объекта в явном виде (т.е. не унаследованы от родительского объекта). Учитывая, что члены VIP-группы также входят в Authenticated Users, доступ к свойствам они не получат.
И ещё соглашусь с первым комментарием. Решение выглядит костыльно, это как запретить пользоваться бумажными стикерами, чтобы сотрудники не писали на них пароли. Также сам Microsoft не рекомендуют вот так менять ACL на объектах AD, т.к. в результате можно поломать работу какого-нибудь нужного сервиса, который не учитывает подобную «кастомизацию» AD
Да, согласны, но поскольку AD является ядром инфраструктуры, то зачастую даже у организаций, уделяющих внимание поддержанию защищённого состояния AD,
для интеграции и совместимости систем в полях расширенной схемы может храниться чувствительная информация или что-то, что позволяет косвенно к ней приблизиться. А пример из статьи это, возможно, крайность, но и такое в нашей практике встречалось.
для интеграции и совместимости систем в полях расширенной схемы может храниться чувствительная информация или что-то, что позволяет косвенно к ней приблизиться. А пример из статьи это, возможно, крайность, но и такое в нашей практике встречалось.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Проблема конфиденциальности данных в Active Directory