这里是我目前正在处理的情况。 我工作的一个Web项目，其安全性被捆绑与Active Directory。 这意味着在技术上当您通过我们添加一个新用户到服务器上的Active Directory应用程序添加用户。 现在的问题是，这是一个好的做法呢？

在这一点上我觉得vulnerabilty这是你可以做一个远程桌面上与您通过应用程序创建的帐户部署服务器（请纠正我，如果我错了）的。 但我只是想确认一下，我可以告知我的建筑师之前。

任何建议将十分赞赏。

等待你的回复。

如果Web应用程序有权限创建在Active Directory帐户，那么这意味着Web应用程序可能有（可能是有限的）到Active Directory域管理权限的帐户。 如果你不小心有可能被用于各种各样的坏事。

如果你想继续，那么第一步，如果你还没有这样做，就是要委派管理权限到Web应用程序的帐户，以便它只能创建一个特定的OU中的帐户。 请参见本文的详细信息，或谷歌搜索等的描述。

你可能也想设置组策略和组成员进一步限制新创建的帐户（例如，禁用远程桌面），你会想在不依赖于Web应用程序的方式来做到这一点做正确的事（如情况下，Web应用程序被攻破一个额外的安全层）。

ServerFault将是一个更好的地方，找出有关Active Directory的安全模型以及如何最好地设置这些各种限制。

最后，如果你让用户在Active Directory域中自动创建的，那么你应该考虑其他方法。 如果你只打算使用Active Directory用户认证的稳定，坚固的来源，例如，那么你可以使用Active Directory轻型目录服务 （以前称为Active Directory应用程序模式），以获得Active Directory中的功能没有任何影响上域的安全性。