Запрет на запись servicePrincipalName в активном каталоге. Удаление доступа с использованием ActiveDirectoryAccessRule
Запретить запись servicePrincipalName для учетной записи домена в активном каталоге. Изучите, как удалить доступ к записи свойства servicePrincipalName с использованием System.DirectoryServices.ActiveDirectoryAccessRule. Нужна помощь?
Управление учетными записями и доступом в активном каталоге – это важная задача для администраторов. В ряде случаев, особенно для учетных записей домена, может возникнуть потребность в ограничении доступа к некоторым свойствам. Одним из таких свойств является servicePrincipalName.
servicePrincipalName – это уникальное имя сервиса, которое идентифицирует его в сети. Это свойство присваивается объектам учетных записей в активном каталоге и позволяет клиентам и серверам обнаруживать и взаимодействовать с этими сервисами. Но иногда может возникнуть необходимость ограничить возможность записи и изменения servicePrincipalName для определенной учетной записи домена.
Использование System.DirectoryServices.ActiveDirectoryAccessRule
Для удаления доступа к записи свойства servicePrincipalName существует мощный инструмент – класс System.DirectoryServices.ActiveDirectoryAccessRule. Этот класс позволяет определить правила доступа для определенных свойств и учетных записей в активном каталоге.
Чтобы запретить запись servicePrincipalName для конкретной учетной записи домена, вам понадобится выполнить следующие шаги:
- Создайте экземпляр класса ActiveDirectoryAccessRule. Ниже приведен пример кода:
ActiveDirectoryAccessRule rule = new ActiveDirectoryAccessRule(
"DOMAIN\\UserName",
ActiveDirectoryRights.WriteProperty,
AccessControlType.Deny
);
- Обратите внимание, что вместо "DOMAIN\\UserName" вы должны указать актуальное имя идентификатора безопасности (SID) или имя пользователя учетной записи домена, для которого вы хотите запретить запись servicePrincipalName.
- Получите объект учетной записи, для которой вы хотите изменить правило доступа. Например:
DirectoryEntry directoryEntry = new DirectoryEntry("LDAP://CN=User,CN=Users,DC=Domain,DC=com");
ActiveDirectorySecurity security = directoryEntry.ObjectSecurity;
- Добавьте созданное правило доступа в список правил:
security.AddAccessRule(rule);
- Примените изменения к объекту учетной записи:
directoryEntry.CommitChanges();
Приведенный выше код демонстрирует основные шаги для запрета записи свойства servicePrincipalName для определенной учетной записи домена при использовании System.DirectoryServices.ActiveDirectoryAccessRule. Однако, применение этого кода требует административных разрешений на изменение активного каталога.
Если у вас возникли сложности или вам нужна дополнительная помощь, не стесняйтесь обращаться к нашей команде поддержки. Наши опытные специалисты помогут вам в решении ваших проблем и вопросов, связанных с активным каталогом.