Итак, я управляю этим доменом, где пользователи - это в основном сотрудники нашей компании, которым разрешено входить на компьютеры компании в нашем домене. На самом деле это поддерживается изначально, поскольку все пользователи по умолчанию Domain Users.
Но у меня также есть сторонние поставщики программного обеспечения, которым требуются учетные записи с ролью администратора на определенных серверах, но которым необходимо запретить вход на другие компьютеры домена.
Вот что я пробовал: допустим, я создал учетную запись по имени Джон, которой назначена группа безопасности. ThirdPartyStaff SG как его основная группа. Затем он удаляется из встроенного Domain Users группа. Сейчас ни ThirdPartyStaff SG ни John не состоит ни в каких других группах. А потом ThirdPartyStaff SG имеет роль администратора на определенном сервере. Так John не должен иметь доступа к ресурсам домена, верно? Но он все еще может входить в систему на любых компьютерах домена локально (не удаленно, потому что он не входит ни в группу администратора, ни в группу RDP).
Так что теперь меня беспокоит, что кроме локальных учетных записей у него могут быть другие разрешения (например, общие папки или удаленное управление запланированными задачами и т. Д.), О которых я не знаю.
Теперь я должен ввести конкретное правило, гласящее, что ThirdPartyStaff SG запрещен локальный вход через GPO, чтобы они не могли войти в систему. Хотя это помогает, но я действительно хочу знать:
Спасибо.
Я бы использовал параметр «войти в» учетной записи пользователя домена, чтобы решить эту проблему. http://ravingroo.com/267/active-directory-user-workstation-logon-restriction/