![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(0, 89%, 10%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EA%3C/text%3E%3C/svg%3E)
380 个问题
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(128, 8%, 22%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EA%3C/text%3E%3C/svg%3E)
你好。
这意味着该用户的 AD 账户没有存储任何用于 Credential Roaming 的令牌或凭据。
对于所有用户的这个属性都为空的情况,可能是因为你的环境中并没有启用或者使用 Credential Roaming 功能,或者是相关的设置和配置还没有应用到这些账户上。
至于权限的设置来保护易受攻击的 Credential Roaming 相关属性,你应该确保以下几点:
- 最小权限原则:只有需要访问这些敏感信息的特定服务或管理员才应该有权限读取或修改
msDS-CredentialRoamingTokens属性。通常情况下,普通的域用户不应该有这种权限。 - ACLs (访问控制列表):通过设置适当的 ACLs 来限制对包含
msDS-CredentialRoamingTokens属性的对象的访问。你可以使用dsacls或者 Active Directory 管理工具来设置这些权限。 - 安全审计:启用针对
msDS-CredentialRoamingTokens属性的更改的安全审计,以监控并记录谁在何时何地进行了什么操作。这有助于及时发现潜在的安全威胁。 - 定期审查:定期审查和更新与
msDS-CredentialRoamingTokens属性相关的权限和策略,确保它们符合当前的安全标准和最佳实践。
如果答案有帮助,请点击”接受答案“并点赞。