Berechtigungen LDAP

[Registry]

Ich habe mal eine kurze Frage, ist es normal das ein authentifizierter Benutzer in der Domäne Leseberechtigungen im LDAP hat? Bei uns kann ein normaler Benutzer mit einem LDAP Browser die komplette Struktur im AD sehen (natürlich nur lesen, nicht verändern). Liegt hier eine Sicherheitslücke vor oder muss das so sein?

Edit: Es handelt sich um ein reines 2008 AD mit Domänenfunktionsebene Windows Server 2008 und Gesamtstrukturfunktionsebene Windows Server 2008.

[Daim]

Salut,

Zitat von Registry Liegt hier eine Sicherheitslücke vor oder muss das so sein?

ja, dass ist so korrekt. Das ist "by Design" so und ist auch weiter nicht tragisch.

[Registry]

Danke für die schnelle Antwort, dann bin ich beruhigt (hatte schon Angst das hier "etwas nicht stimmt").

[NilsK]

Moin,

falls man das ändern will, muss man in die AD-Berechtigungen einsteigen. Aber vorsicht, das wird schnell sehr komplex und kann die korrekte Funktion des AD beeinträchtigen. Daher ist in so einem Fall intensives Testen in einer getrennten (!) Entwicklungsumgebung unabdingbar.

faq-o-matic.net ice:2010 AD-Delegation – die Folien und Skripts

Gruß, Nils