Active directory 允许用户仅在Active Directory中自己的OU内枚举帐户的策略

是否可以定义一个限制用户仅枚举其自己OU中的帐户的策略

例如，让我们考虑域CONSOSOS和UES销售和HR。销售OU有两个用户A和B，HR OU有用户C和D.

是否可以定义一个策略，使a只能枚举帐户a和B，C只能枚举C和D，而不能枚举不在其OU中的帐户？

不要这样做

但是，您可以为每个OU创建一个组，并将OU用户放入该组中。然后，您可以更改其他OU的权限，以拒绝此组的“列表内容”权限。我不认为没有脚本就可以配置它。但由于规则很简单，可以编写脚本

也就是说。我建议您在没有专门的专家组的情况下，不要胆敢更改active directory默认权限。只需单击几下，您就可以很容易地使您的网络变得无用。即使您不这样做，也有可能对active directory安全性有期望的程序（甚至没有意识到这一点）将遭受微妙的错误

所以规则是。如果你一定要问，不要问。如果你需要成为专家，那么：

更新：如果需要询问，规则指的是在这样的公共网站上询问。在这里，像我这样的非专家可以给你潜在的误导性信息，就像我的一样（我希望不是，但是…）。我不确定您的要求是否没有简单的解决方案。 但据我所知，这条路燃烧了不少勇敢的灵魂。

说得好！ 我自己也不知道怎么做，但伊格尔·塞班的回答打动了我。他是对的，在公共论坛上，若你们接受不成熟的建议，你们会为此付出很多。我曾经因为这样的原因被咬过一次

读一些书或咨询一些专家