Oui, les autorisations de sécurité par défaut dans Active Directory donnent à tous les utilisateurs un accès en lecture à la majorité des attributs des objets de l'annuaire, y compris les autres utilisateurs.
Si la suppression de cette capacité est nécessaire pour satisfaire aux exigences de sécurité de votre entreprise, il ne suffit malheureusement pas de modifier les autorisations sur l'OU/conteneur où se trouvent vos utilisateurs sensibles. Les permissions qui accordent l'accès en lecture à ces attributs ne sont pas réellement héritées de leur conteneur. Elles sont définies directement sur l'objet au moment de sa création.
Pour changer cela, vous devez éditer le schéma AD et modifier l'ACL de sécurité par défaut sur la classe d'utilisateurs en fonction de vos besoins de sécurité. Il s'agit d'une opération délicate. Mais contrairement à d'autres modifications du schéma, elle est entièrement réversible (il suffit de rétablir les permissions).
Elle n'affectera pas non plus rétroactivement les utilisateurs déjà existants. Vous devrez revenir en arrière après coup et utiliser un outil tel que dsacls pour réinitialiser les utilisateurs à leurs autorisations de sécurité par défaut à partir du schéma.
Gardez à l'esprit que de nombreuses applications qui accèdent à Active Directory supposent que les autorisations de sécurité par défaut existent et peuvent échouer de manière étrange si elles ne peuvent pas lire ces attributs utilisateur. Assurez-vous donc que toutes les applications qui ont besoin d'un accès sont exécutées avec des informations d'identification qui ont reçu un accès explicite pour lire les attributs qui les intéressent.
