基本介紹
Authenticated Users(經過身份驗證的用戶)用戶組具有向 Active Directory 域中添加10個計算機賬戶的能力。這些新計算機賬戶在計算機容器中創建。
用該組代替everyone組可以防止匿名訪問。
解決辦法
拒絕Authenticated Users組造成Administrator無法訪問AD對象的解決辦法:
為了限制用戶訪問Address Lists修改了Exchange Server Manager裡面Address Lists的安全設定,但是,錯誤地拒絕了Authenticated Users的訪問許可權。
因為Administrator屬於Authenticated Users組,所以無法再從管理控制台用Administrator來訪問。不要說Administrator,任何驗證用戶都沒有辦法訪問了,添加新的Admin也不行。
Guest用戶不屬於Authenticated Users,所以可以繞過去……但是Guest用戶不具有任何修改許可權。
Schema Admin Users可以修改AD架構,所以我們臨時把Guest加入到該組,建議這樣做的時候限制網路的訪問,在單機上操作,規避風險。
使用Runas方式打開ADSIEdit工具,
CN=All Address Lists,CN=Microsoft Exchange,CN=Services,CN=Configuration,DN=,DN=,DN=
DN代表您的域名,根據實際情況調整。
修改安全設定,恢復Administrator的管理權。
最後,將Guest的許可權收回。
操作步驟
1、在控制臺帳戶中開啟來賓帳戶
2、我的電腦上點右鍵,點管理>本地用戶和組>用戶
3、在Guest上點右鍵,選屬性
[localimg=180,144]2[/localimg]
4、在屬性視窗中點隸屬於選項卡,點添加,在彈出視窗中點高級,點立即查找
[localimg=180,111]3[/localimg]
5、雙擊搜尋結果中的“Administrator”,彈出視窗點確定,隸屬於視窗繼續點確定
[localimg=141,150]4[/localimg]
6、用Guest帳戶登錄,選擇要修改的資料夾、磁碟,將Authenticated Users修改為允許即可。
7、將Guest帳戶的許可權收回。