是的,但它很复杂.您需要做的是将您的域置于列表对象模式.这是通过在ADSI编辑中将配置命名上下文中dsHeuristics属性中的第三个数字设置为1来完成的.
http://technet.microsoft.com/en-us/library/cc546864.aspx
完成后,您将解锁列表对象模式,您将看到该模式作为可以分配给Active Directory对象的新权限或ACE.
它让人联想到Windows安全性中的“绕过遍历检查”权限,允许用户遍历他们没有权限的文件夹,以便访问他们有权访问的文件夹.
您主要看到多租户环境中使用的AD列表对象模式,其中您有多个客户共享同一个AD域,并且您不希望他们能够看到彼此的内容.
但请记住,除非您非常非常精确地使用您的权限,否则您将在客户端遇到组策略应用程序错误.客户端上的GP引擎需要读取gpLink,读取gpOptions,读取cn并读取链中每个OU上的distinguished Name,从它们一直驻留到域的根目录,否则GPO应用程序将失败.
原文地址:https://www.jb51.cc/windows/365697.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。