У нас есть 2 новых внешних подрядчика, которые связываются с клиентами от нашего имени, и мы хотим, чтобы они могли отправлять только электронные письма. У них есть обзор, и у нас настроен доступ в Интернет. Однако я не хочу, чтобы их учетные записи пользователей могли входить на любой из наших внутренних компьютеров / серверов.
Как проще всего это настроить?
Создайте группу безопасности, используйте GPO, чтобы запретить участникам права входа в систему (или просто права входа в систему, в зависимости от того, что именно вы имеете в виду) по умолчанию на компьютерах домена, добавьте в нее две учетные записи подрядчика, а затем убедитесь, что не влияет отрицательно на доступ к OWA или Exchange. Я делал это в прошлом (и, может быть, на моей нынешней работе?), Чтобы создать пользователей только для почты.
Вы также должны иметь возможность установить для соответствующей учетной записи AD параметр «Вход в ...» (на вкладке «Учетная запись») на несуществующее имя компьютера (то, которое вы никогда бы не использовали), например «NOPCACCESS».
Это ограничит их доступ только к компьютеру с этим именем, поэтому, поскольку его не существует, они не могут войти в систему ни на одном ПК. Однако у них по-прежнему должен быть доступ к электронной почте. Я тестировал это с помощью Exchange 2010, и он разрешал доступ как к Outlook, так и к OWA, но при этом ограничивал вход на ПК.
Если вы все же используете эту настройку, я все равно буду тестировать, чтобы убедиться, что она работает так, как вы хотите.