Привет, коллеги.
Есть необходимость создать пользователя с ограниченными правами, чтобы только мог читать инфо из AD. Желательно, вообще не из всего, а только по ограниченному пути.
Будем юзать для ldapsearch, а делать для этого обычного пользователя не очень хотелось бы.

У юзеров и есть права только на чтение AD по умолчанию (ну еще ввод в домен, отключается политиками). Если хотите еще сильнее ограничить, посмотрите в сторону List object mode (http://www.osp.ru/win2000/2013/01/13033441/)

Спасибо. Не знал про такой режим.
Решил обойтись запретом локального входа.

Вот инструкция, если кому понадобится:
http://www.alexheer.co.uk/it-blog/deny-interactive-logon-for-service-accounts