Назад | Перейти на главную страницу

Ограничить вход в AD между дочерними доменами

Допустим, у нас есть 3 домена (и 3 DC), где contoso.local - корневой домен, dep1.contoso.local - дочерний домен contoso.local, а dep2.contoso.local - еще один дочерний домен contoso.local

Как сейчас

По-видимому, доверительные отношения между этими доменами являются транзитивными, что в соответствии с требованиями компании, проводящей аудит безопасности, недостаточно безопасно, и нам необходимо удалить доверительные отношения между dep1.contoso.local и dep2.contoso.local.

Я в курсе что удаление доверительных отношений между дочерними доменами невозможно, но может существовать малейшая вероятность сценария, в котором клиенты из dep1 не могут вход из клиенты, которые присоединились к дочернему домену dep2 и DC каждого домена могут все еще видимся?

Как и предполагалось

Любая подсказка приветствуется.

Когда вы просите намекследующее должно направить вас в правильном направлении; вы можете адаптировать их к вашим конкретным потребностям.


Используя групповую политику, вы можете настроить любую комбинацию назначений прав пользователей в Computer Configuration \ Policies \ Windows Settings \ Security Settings \ Local Policies \ User Rights Assignment ->

  • Доступ к этому компьютеру из сети
  • Разрешить локальный вход
  • Разрешить вход через службы удаленных рабочих столов
  • Запретить вход локально
  • Запретить вход через службы удаленных рабочих столов

Чтобы добиться желаемого результата, чтобы вы могли

  • Примените GPO ко всем машинам в DEP1, чтобы применить право пользователя «Запретить вход локально» к DEP2\Domain Users (и наоборот), или
  • Примените GPO ко всем машинам в DEP1, чтобы применить право пользователя «Разрешить локальный вход» к только Administrators и DEP1\Domain Users (и наоборот) - хотя это нарушит вход в систему локальными учетными записями, или
  • Применить объект групповой политики, который удаляет Authenticated Users из местного Users группа
  • и так далее