Разрешить пользователю в Active Directory 2008 R2 отправлять и получать только электронные письма
Нам нужно создать пользователя в Active Directory 2008 R2, который сможет отправлять принимающие электронные письма (Exchange 2010). Этот пользователь не должен иметь доступа к любому другому серверу или ПК в домене. Мы можем заблокировать его с помощью опции «Вход в ...» в Active Directory и ограничить его доступ только к почтовому серверу, но означает ли это, что он может зайти на почтовый сервер и войти на него с помощью клавиатуры и мыши?
Есть другой способ?
Способ узнать наверняка, что он не может интерактивно войти на ваш почтовый сервер, чтобы
- Обеспечьте физическую безопасность сервера, как сказал Грег.
- Заблокируйте доступ к удаленному рабочему столу для обычных пользователей.
- Убедитесь, что он не входит ни в одну группу, которая может войти на серверы или компьютеры, или
- Убедитесь, что он является в группе, которая не может входить ни на какие машины.
Например, в предыдущей среде, в которой я был, у нас была группа в AD, в которую мы помещали учетные записи, для которых мы не хотели входить в систему, и в нашей политике домена по умолчанию мы установили ее так, чтобы эти учетные записи не могли входить на рабочие станции. У них есть доступ к электронной почте, но они не могут войти в систему.
Если бы у нас были машины, на которых им нужно было входить в систему, эти машины помещались в специальное подразделение с блокировкой наследования и созданием собственной политики.
Есть другой способ. Вы можете просто ограничить доступ пользователей к серверу с помощью групповой политики пользователей.