Комментарии 3
имхо, эту «полезную» информацию лучше вообще не хранить, тем более в AD
Чтобы сохранить к ней доступ для релевантных пользователей, я создал другой ACL, чтобы позволить членам VIP-группы (Cruella и другим ее высокопоставленным коллегам) получить доступ к этим конфиденциальным данным

Насколько знаю, deny имеет приоритет над permit, если оба заданы для объекта в явном виде (т.е. не унаследованы от родительского объекта). Учитывая, что члены VIP-группы также входят в Authenticated Users, доступ к свойствам они не получат.
И ещё соглашусь с первым комментарием. Решение выглядит костыльно, это как запретить пользоваться бумажными стикерами, чтобы сотрудники не писали на них пароли. Также сам Microsoft не рекомендуют вот так менять ACL на объектах AD, т.к. в результате можно поломать работу какого-нибудь нужного сервиса, который не учитывает подобную «кастомизацию» AD
Да, согласны, но поскольку AD является ядром инфраструктуры, то зачастую даже у организаций, уделяющих внимание поддержанию защищённого состояния AD,
для интеграции и совместимости систем в полях расширенной схемы может храниться чувствительная информация или что-то, что позволяет косвенно к ней приблизиться. А пример из статьи это, возможно, крайность, но и такое в нашей практике встречалось.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.
Информация
Дата основания

1 мая 2005

Численность

1 001–5 000 человек

Дата регистрации

4 февраля 2015

Блог на Хабре