Я пытаюсь создать учетную запись для внешнего подрядчика, чтобы он мог иметь @domain.com адрес электронной почты и доступ к нему из OWA, но не входить на какой-либо сервер или компьютер в домене.
Я пробовал установить Log On To... свойство несуществующего ПК, и это работает в том смысле, что они не могут войти ни на какие ПК или серверы, но они также не могут войти в OWA. Я не хочу предоставлять им доступ для входа на почтовый сервер, так как я действительно хочу запретить им доступ для входа на любой ПК или сервер.
Я бы также предпочел не использовать групповую политику для завершения этого, так как я бы хотел, чтобы она применялась только к этому одному пользователю, и чтобы ее было легко отменить, когда / если они уйдут.
Спасибо!
Вы должны использовать группу безопасности для арбитража этого доступа, даже если в конце концов группа имеет только одного подрядчика в качестве члена. Если вам понадобится переделать это в будущем для нового подрядчика, вы будете счастливы, что используете группу.
Вот что бы я сделал:
Это будет легко удалить, если вам когда-нибудь понадобится, и легко применить к другим пользователям (посредством членства в grouo) в будущем.