最近很忙，Blog没有刷新，最近遇到一位用户，对信息安全要求严格，提出了两个安全要求：
1、活动目录各大部门OU成员由部门秘书来管理，且不允许此秘书在通过ADUC管理过程中不可查看其他部门OU人员信息，
2、秘书在管理部门OU成员时，不允许登录至DC上进行对OU管理。
3、各大部门用户在访问文件服务器上共享资源时，针对自己没有权限访问的共享文件夹，不允许访问（正常要求），且此共享文件夹不可以让没有权限的用户看到（有点苛刻）。
 

问题1实现办法：
在默认情况下，在域中只要是域用户，本就具备对活动目录有读取权限。也就是说，任何域用户都可以读取域内所有用户信息。才导致当某部门秘书用自己帐户登录DC时（可交互时登录情况下），可以查看其他OU中用户信息。为了让秘书帐户不能查看其他OU信息，那就是对其他OU进行权限设置。下图：
首先：1、在ADUC中，点击“查看------高级功能”
 

2、在针对不同的OU进行权限设置，右击"OU-----属性"

问题2实现方法：
如果部门秘书使用的操作系统为Windows Server 2003/2003,可使用MMC控制台进行对ADUC工具进行加载。而一般秘书所使用系统为Windows XP/7,此时你需要在部门秘书计算机中安装基于Windows Server服务管理工具。当前微软服务管理工具分为以下几个版本：
1、针对Windows Server 2003/SP1/SP2/R2/2008/R2 For Windows XP/Vista SP1/7服务管理工具
您可以到以下地址下载：
http://www.microsoft.com/downloads/details.aspx?familyid=e487f885-f0c7-436a-a392-25793a25bad7&displaylang=en For Windows XP

http://www.microsoft.com/downloads/details.aspx?familyid=7D2F6AD7-656B-4313-A005-4E344E43997D&displaylang=en For Windows Vista SP1/7
例：在Windows XP上安装Windows Server 2003 SP1服务器管理工具：
 

我们以财务部OU中的tom用户登录Windows XP客户端,并打开ADUC工具。
 

在此，会发现在ADUC中，你根本查看不到IT部门OU，而只会看到tom所在财务部OU中用户信息。
而实际域中是有两个部门OU
 

问题3实现方法：
在Windows Server 2008后，就可以对共享文件夹进行无权限用户者，屏蔽显示。
首先：在文件服务器上，打开"共享和存储管理"

2、针对共享的文件夹"share"右击”属性“

更换IT部OU用户user1登录，此时看不到“share”共享文件夹。

你的权限，决定你对资源的可见度，进一步提高了安全性。