Если веб-приложение имеет разрешение на создание учетных записей в Active Directory, это означает, что веб-приложение предположительно имеет учетную запись с (возможно, ограниченными) административными правами на домен Active Directory.Это может потенциально использоваться для всех видов плохих вещей, если вы не будете осторожны.
Если вы собираетесь продолжить, то первым шагом, если вы еще этого не сделали, является делегирование административныхправа на учетную запись вашего веб-приложения, чтобы оно могло создавать учетные записи только в пределах определенного подразделения.См. эту статью для получения подробной информации или выполните поиск в Google для других описаний.
Возможно, вы также захотите настроить групповую политику и членство в группах для дальнейшего ограничения вновь создаваемых учетных записей (напримеротключение удаленного рабочего стола), и вы захотите сделать это так, чтобы веб-приложение не работало правильно (в качестве дополнительного уровня безопасности в случае взлома веб-приложения).
ServerFault было бы лучше узнать о модели безопасности Active Directory и о том, как наилучшим образом настроить эти различные ограничения.
Наконец, если вам не нужно , нужно чтобы пользователи автоматически создавались в вашем домене Active Directory, тогда вам следует рассмотреть другие подходы.Если вы хотите использовать Active Directory, например, в качестве стабильного и надежного источника аутентификации пользователя, то вы можете использовать Active Directory облегченные службы каталогов (ранее известный как режим приложения Active Directory), чтобы получить ActiveФункциональность каталога без какого-либо влияния на безопасность вашего домена.