最近很忙，Blog没有刷新，最近遇到一位用户，对信息安全要求严格，提出了两个安全要求：

1、活动目录各大部门OU成员由部门秘书来管理，且不允许此秘书在通过ADUC管理过程中不可查看其他部门OU人员信息，2、秘书在管理部门OU成员时，不允许登录至DC上进行对OU管理。3、各大部门用户在访问文件服务器上共享资源时，针对自己没有权限访问的共享文件夹，不允许访问（正常要求），且此共享文件夹不可以让没有权限的用户看到（有点苛刻）。 

问题1实现办法：

在默认情况下，在域中只要是域用户，本就具备对活动目录有读取权限。也就是说，任何域用户都可以读取域内所有用户信息。才导致当某部门秘书用自己帐户登录DC时（可交互时登录情况下），可以查看其他OU中用户信息。为了让秘书帐户不能查看其他OU信息，那就是对其他OU进行权限设置。下图： 首先：1、在ADUC中，点击“查看------高级功能” 

 

2、在针对不同的OU进行权限设置，右击"OU-----属性"

 

3、如果你不希望此OU所有用户可以看到，那可取消"Authenticated Users"的"读取"权限。

 

4、让IT部门所有用户可读此OU信息,在此也可以对其他用户进行授权。

 

5、让IT部秘书用户对IT部OU进行”完全控制“

问题2实现方法：

如果部门秘书使用的操作系统为Windows Server 2003/2003,可使用MMC控制台进行对ADUC工具进行加载。而一般秘书所使用系统为Windows XP/7,此时你需要在部门秘书计算机中安装基于Windows Server服务管理工具。当前微软服务管理工具分为以下几个版本：1、针对Windows Server 2003/SP1/SP2/R2/2008/R2 For Windows XP/Vista SP1/7服务管理工具 您可以到以下地址下载： For Windows XP

 For Windows Vista SP1/7

例：在Windows XP上安装Windows Server 2003 SP1服务器管理工具： 

 

我们以财务部OU中的tom用户登录Windows XP客户端,并打开ADUC工具。

 

在此，会发现在ADUC中，你根本查看不到IT部门OU，而只会看到tom所在财务部OU中用户信息。

而实际域中是有两个部门OU  

问题3实现方法：

在Windows Server 2008后，就可以对共享文件夹进行无权限用户者，屏蔽显示。 首先：在文件服务器上，打开"共享和存储管理"

 

 

2、针对共享的文件夹"share"右击”属性“

 

 

3、点击”高级“ 

 

4、选中”启用基于访问权限的枚举“功能，即可。 例：share文件夹，可以被财务部用户tom可读，不能让IT部用户user1读取。 

 

以tom登录客户端，共享文件夹"share"可正常显示。 

更换IT部OU用户user1登录，此时看不到“share”共享文件夹。

你的权限，决定你对资源的可见度，进一步提高了安全性。