Привет!
С AD никогда плотно не работал, оттого возник вопрос правильной организации безопасности.
В куче best practice мануалов рекомендуют, например, отключите встроенного Administrator, вместо него создайте другого юзера с тем же набором привилегий. Более того, эту супер привилегированную учетку не юзайте почти никогда, а, мол заведите себе для администрирования несколько учеток, с разным уровнем привилегий. Ок, вроде толково.
Но вот все Authenticated Users могут просматривать все объекты домена, в т.ч атрибуты юзеров и вычислить, кто же там имеет привилегии Domain User и т.д. Да и просто видеть структуру домена (которая очень часто говорит о структуре организации)
Нашел примеры ,как можно эту видимость отключить (причем, по хорошему, надо бы чтобы юзеры не видели ничего дальше своих OU)
https://windowsnotes.ru/activedirectory/active-dir...
Однако тут уже предлагают редактировать с помощью ADSIEdit, что в большинстве случаев не рекомендуют. Плюс где-то натыкался на упоминания, что подобное поведение может привести к проблемам работы GPO (ибо юзеры не будут их видеть), хз насколько правда.
Как вы решаете этот вопрос? Надуманная ли вообще проблема?
