Как использовать фильтр для предотвращения sub OU в Active Directory?
RewriteCond %{HTTP_HOST} ^www\.(.*)$ [NC]
RewriteRule ^/(.*)$ http://%1/$1 [R]
RewriteCond получения все в HTTP_HOST переменная после www. и сохраняет его в %1.
RewriteRule получения URL без продвижения / и сохраняет его в $1.
1 ответ
Если вы используете System.DirectoryServices ( .Protocols ) в .NET, вы можете установить SearchScope на OneLevel для поиска только в People-OU (без дочерних OU). Но это не сработает, если у вас есть OU = Good, OU = People, DC = mydomain, DC = com ...
Второй вариант - запросить People-OU для всех sub-OU: s ( objectClass = organizationUnit ), а затем выполнить несколько поисковых запросов; по одному для каждого из них (кроме «Злого»).
Edit: @geoffc - это будет действительно сложно реализовать. По умолчанию все аутентифицированные пользователи имеют доступ для чтения ко всем объектам в Active Directory. Просто установка "Запретить чтение" на Evil OU выиграла. Это сделано, потому что право чтения для аутентифицированных пользователей установлено для отдельного объекта пользователя (в данном случае) и, таким образом, имеет приоритет над запрещающим ACL, установленным в OU. По сути, вам нужно будет установить ACL запретить чтение для каждого из объектов в Evil-OU и всегда следить за тем, чтобы новые объекты, добавленные в каталог, получали тот же набор прав запрета. Вы можете отредактировать схему Active Directory и удалить права для прошедших проверку пользователей, но это нарушит многие другие вещи (включая Exchange) и не поддерживается Microsoft.