Функциональный уровень Active Directory "Windows Server 2008 R2"
Я хотел бы скрыть "Участники" от всех прошедших проверку пользователей, за исключением участников рассматриваемой группы.
Я предполагал, что "SELF" поможет с этим, но, похоже, не сработает. Вот тестовая установка:
ОУ "Тестер" Группа "ТестГрупп"
Два пользователя: один администратор и один не администратор (TestUser).
Я создаю TestGroup в тестере OU. Я добавляю TestUser в качестве члена группы.
На уровне OU я добавляю «Запретить, Прошедшие проверку пользователи, Чтение участников».
Я тестирую, и TestUser не может видеть никаких участников (ожидается).
На TestGroup я добавляю «Разрешить, SELF, Чтение членов».
Я тестирую, и TestUser не может видеть никаких участников (не ожидается).
Далее в TestGroup я добавляю «Разрешить, TestUser, Чтение членов».
Я тестирую, и TestUser может видеть участников (ожидается).
Мой следующий тест на TestGroup Я добавляю «Разрешить, TestGroup, Чтение членов». Затем я удаляю правило «Разрешить, TestUser, Чтение членов».
Я тестирую, и TestUser не может видеть участников (ожидается, поскольку я предполагаю, что это то же самое, что и SELF).
Похоже, что для просмотра членов группы у данного пользователя должно быть разрешение другой группы (не рассматриваемой группы) (или самого пользователя) на чтение участников. Это правда?