Я новичок в Active Directory, и это может быть несложно, но я не уверен, как это сделать.
В моем AD есть организационная единица с именем WI, в этом OU у меня 2 группы WI Users и WI Administrators, У меня также есть несколько пользователей и два хост-сервера сеансов удаленных рабочих столов в OU. Также есть другие пользователи и компьютеры в других OU
Вот основные правила того, чем я хочу заниматься:
WI Users группе разрешено удаленно входить в систему как стандартный пользователь на компьютеры в WI ОУ.WI Administrators группа будет членом местного Administrators группа на компьютерах в WI ОУ.WI ОУ не буду разрешено подключаться к любому ресурсу (компьютеру, принтеру, общему ресурсу и т. д.) вне из WI ОУ.Я понял, как делать все, кроме правила 3, с помощью AD и групповых политик. Какого рода групповая политика мне нужна, чтобы выполнять это третье правило?
В настоящее время я не добавляю пользователей из WI OU на уровень домена Remote Desktop Users группа и добавление WI Users к местный Remote Desktop Users для компьютеров в WI ОУ. Однако то, что я написал в правиле 3, является моей истинной целью. Я хочу запретить общий сетевой ресурс и доступ к принтеру, но я не могу просто установить пользователей WI как Deny в GPO как люди вне WI OU будет членом WI Users группа.
Вам нужно будет удалить 'Domain Users' или 'Authenticated Users' из каждого ресурса, к которому вы хотите, чтобы у них не было доступа, и добавьте OU для групп, к которым вы хотите иметь доступ. К сожалению, не существует единого метода удаления разрешений для локального входа в систему, общего доступа и принтеров.
computer config->windows settings->security settings->local policies->user rights assignment разрешить локальный вход и доступ к этому компьютеру из сети и их запрещающие аналоги - это настройки, которые контролируют, кто может войти.