Как вы помните из предыдущей статьи, по умолчанию у каждой вновь создаваемой организационной единицы (Organizational Unit, OU) в списке доступа присутствует разрешение на чтение для группы Authenticated Users, что дает всем пользователям домена возможность просматривать содержимое этой OU. Соответственно для того, чтобы скрыть OU от пользователей, необходимо каждый раз редактировать настройки безопасности. Избавиться от ручного редактирования можно, изменив дефолтные свойства класса Organizational Unit.
Изменение свойств класса производится путем внесения изменений в схему Active Directory, для чего нам потребуется установить оснастку «Active Directory Schema». Сначала открываем командную консоль от имени администратора и регистрируем библиотеку schmmgmt.dll, необходимую для работы оснастки:
regsvr32 schmmgmt.dll
Затем открываем консоль mmc, переходим в меню File -> Add/Remove Snap-in.
Выбираем из списка оснастку «Active Directory Schema» и добавляем ее в консоль.
Приступаем к редактированию. Раскрываем оснастку и переходим в раздел «Classes». Там находим класс organizationalUnit, правой клавишей мыши открываем меню и выбираем пункт Properties.
На странице свойств переходим на вкладку «Default Security», на которой находятся настройки безопасности OU по умолчанию. Можно просто убрать разрешение на чтение для Authenticated Users, либо по кнопке «Advanced» перейти к расширенным настройкам.
Если выбраны расширенные настройки, то выбираем Authenticated Users и жмем «Edit».
Выставляем необходимые разрешения. Например, можно убрать List Object, оставив List Contents.
Жмем OK, сохраняем полученные настройки и выходим из оснастки. Сделанные изменения вступят в силу не сразу, придется подождать.
И в завершение несколько важных замечаний:
• Для внесения изменений в схему необходимо входить в группу Schema Admins;
• Изменения в схеме AD могут отразиться на работе всего леса, поэтому перед внесением изменений необходимо тщательно проверить их в тестовой среде;
• Настройки будут применятся ко всем вновь создаваемым OU, для ранее созданных OU ничего не изменится.