当前，大多数IT专业人士处理的工作通常包括以下：

　　·物理访问

　　·通过防火墙的网络访问

　　·访问服务器上的服务

　　·对应用程序的访问

　　IT人员的主要工作就是对上述领域进行保护，但是对于存储在Active Directory上的信息呢?当使用Windows Server 2008域控制器的时候，大多数人对于该技术内置的安全功能感到很放心。然而，你必须知道，普通用户也可能通过使用简单的工具来获取敏感信息。除此之外，你还需要检查一下，用户是否可以利用Active Directory内置的兼容性“功能”( Windows Server 2000以后的版本都有的功能)查看更多的敏感信息。

　　在本文中，我们将讨论普通域用户可以看到Active Directory中的哪些信息以及为什么用户可以看到这些信息等问题。

　　安全问题

　　在Active Directory中通常存储着很多信息，包括域配置、各种帐户类型、打印机和共享文件等。当然，我们还可以使用软件来存储更多信息，并使用Active Directory来存储配置数据。这种软件可能是业务会计应用程序或者使用directory作为配置应用程序和域用户的安全装置。因此，必须检查域控制器和全局编录服务器上的哪些信息是可以被域用户(甚至匿名用户)查看的，这是非常重要的。

　　企业的网络基础设施建设应该尽可能的安全，通常我们会让安全人员安装防火墙和加密技术来限制所有对网络、服务器和应用程序的访问，主要是通过用户的登录验证或者其他类型的身份验证(如智能卡和生物识别技术)来进行访问控制。

　　只有通过身份验证的用户才能够访问他们工作需要的网络资源，IT人员必须确保用户访问的正确的共享文件、打印机、邮箱和应用程序。那么某些“间谍”企业用户是否能够使用其他方式获取存储在AD上的信息呢?你是否作为标准域用户帐户检查过自己的AD呢?如果你是负责网域安全，就必须弄清楚在默认情况下哪些信息是暴露给用户的。
检查Directory

　　如果想要检查哪些信息暴露给用户，可以在测试环境中作为普通用户身份登录(默认域设置)，首先访问微软的TechNet SysInternals网站，从该网站下载并运行AD浏览器，在图1中可以看到笔者的域和证书：

图1：Active Directory浏览器的登录框

　　在图2中，可以看到更多属性设置以及很多限制信息(如密码和审计政策等)，如果企业有好的密码政策(也包括锁定政策)，那么就不会有大的安全问题。

　图2：普通域用户可以看到的域属性

　　在图3中将可以看到更多关于该帐户的细节信息，包括登录时间、组成员身份和密码更改的时间等。

图3：普通域用户可以看到的管理员帐户信息

　　我们可以使用前后对照查询来找出拥有“永不过期密码”属性设置的域管理员(userAccountControl属性的一部分)，AD报告和管理软件(Javelina Software公司的ADToolkit)可以为管理员提供数据报表，并且非常容易使用。

　　目录信息不仅包括用户和组对象有效，而且还包括完整的域基础设施(如“Active Directory Sites and Services”中所见)。

　　多个安全组实际上可以读取访问某些或者全部的属性：

　　·验证用户

　　·Windows 2000以前版本的兼容访问

　　Windows 2000以前版本的安全组还包括稍后将讨论的其他组，这些更改和写入权限都在AD中进行处理。