基本介紹
Authenticated Users(經過身份驗證的用戶)用戶組具有向 Active Directory域中添加10個計算機賬戶的能力。這些新計算機賬戶在計算機容器中創建。
用該組代替everyone組可以防止匿名訪問。
解決辦法
拒絕Authenticated Users組造成Administrator無法訪問AD對象的解決辦法:
為了限制用戶訪問Address Lists修改了Exchange Server Manager裡面Address Lists的安全設置,但是,錯誤地拒絕了Authenticated Users的訪問權限。
因為Administrator屬于Authenticated Users組,所以無法再從管理控制台用Administrator來訪問。不要說Administrator,任何驗證用戶都沒有辦法訪問了,添加新的Admin也不行。
Guest用戶不屬于Authenticated Users,所以可以繞過去……但是Guest用戶不具有任何修改權限。
Schema Admin Users可以修改AD架構,所以我們臨時把Guest加入到改組,建議這樣做的時候限制網絡的訪問,在單機上操作,規避風險。
使用Runas方式打開ADSIEdit工具,
CN=All Address Lists,CN=Microsoft Exchange,CN=Services,CN=Configuration,DN=,DN=,DN=
DN代表您的域名,根據實際情況調整。
修改安全設置,恢複Administrtor的管理權。
最後,将Guest的權限收回。
操作步驟
1、在控制面闆帳戶中開啟來賓帳戶
2、我的電腦上點右鍵,點管理>本地用戶和組>用戶
3、在Guest上點右鍵,選屬性
[localimg=180,144]2[/localimg]
4、在屬性窗口中點隸屬于選項卡,點添加,在彈出窗口中點高級,點立即查找
[localimg=180,111]3[/localimg]
5、雙擊搜索結果中的“Administrator”,彈出窗口點确定,隸屬于窗口繼續點确定
[localimg=141,150]4[/localimg]
6、用Guest帳戶登錄,選擇要修改的文件夾、磁盤,将Authenticated Users修改為允許即可。
7、将Guest帳戶的權限收回。
