5

我们公司正在尝试使用 Active Directory (Windows Server 2003) 和 LDAP 实现一些单点登录应用程序。我想尽可能多地锁定用于进行这些 LDAP 查询的帐户。配置此类帐户的最佳做法是什么?

4

2 回答 2

4

您可以通过轻松使用委派向导来限制/允许用户在 AD 中可以看到/查询的内容。您可以通过右键单击 OU 并选择委派控制轻松访问委派向导。您可能还想看看这些文章:

Active Directory 委派中的默认安全问题

委派 Active Directory 管理的最佳实践:委派在 Active Directory 中的工作方式

委派 Active Directory 管理的最佳实践:案例研究:委派方案

于 2009-05-05T14:46:45.283 回答
0

请参阅如何配置 Active Directory 以允许匿名查询以实现最低安全性。

默认情况下,Microsoft LDAP 实施不支持安全 LDAP。要使用 SSL 设置安全 LDAP,必须在 LDAP 服务器和 LDAP 客户端上都安装证书。在许多情况下,LDAP 服务器是运行 Active Directory 的域控制器。

可以通过多种方式配置使用 SSL 运行安全 LDAP 所需的证书。这个概念总是一样的:

  • Active Directory 域控制器使用由受信任的证书颁发机构颁发的特殊证书。
  • 客户端计算机信任将证书颁发给 Active Directory 域控制器的证书颁发机构。
于 2009-05-05T03:28:11.217 回答