Мне нужно аутентифицировать пользователей AD, которые входят на свои рабочие станции, только если они принадлежат к группе безопасности НА МОМЕНТ АУТЕНТИФИКАЦИИ. Их добавляют в эту привилегированную группу прямо перед тем, как они фактически вводят свои пароли (они должны соответствовать определенным требованиям), затем они входят в систему и через минуту удаляются из группы.
Я думал, что смогу сделать это с помощью GPO «Локальный вход в систему» - и это почти сработало, пока пользователь не был удален из привилегированной группы. Это когда он потерял доступ к общим ресурсам.
Итак, мой вопрос - как повлиять ТОЛЬКО на процесс аутентификации (а не на весь интерактивный сеанс), используя членство в группе безопасности. Меня волнует, является ли он членом этой привилегированной группы только в момент аутентификации.
Спасибо за любые предложения.
Active Directory не совсем так работает. Вы аутентифицируетесь на контроллерах домена много раз в течение сеанса, не только для первоначального входа в систему, но и каждый раз, когда вы обращаетесь к удаленному ресурсу (общие файловые ресурсы, сетевые принтеры, серверы терминалов, сайты интрасети и т. Д.).
Таким образом, у них есть разрешения группы при входе в систему, но как только они удаляются, они проходят аутентификацию на файловом сервере и (правильно) больше не имеют соответствующего членства в группе, поэтому получить отказ в доступе.
Это довольно странное требование, но оно может сработать:
Вам нужно будет использовать группу «group-permissions» для всего, что они повторно аутентифицируют во время сеанса - сайтов интрасети, общих файловых ресурсов и т. Д.
Таким образом, они поддерживают одно членство в группе на весь сеанс, но не могут войти в локальную систему второй раз. Если вы разрешаете удаленный вход (например, на сервер терминалов или что-то в этом роде), вам, вероятно, потребуется использовать группу «group-permissions», чтобы разрешить удаленный вход, чтобы они могли повторно подключиться в случае отключения.