Я создаю учетную запись AD для определенного пользователя, мы только хотим, чтобы этот пользователь имел доступ к двум приложениям (OWA и другим веб-приложениям) в нашей сети и не получал доступ к ЛЮБЫМ другим машинам (RDP, общим ресурсам и т.д.) В любом путь.

У меня слишком много серверов, чтобы пройти через все из них и заблокировать этого пользователя или группу, поэтому мне нужен GP для этого пользователя / группы, чтобы заблокировать ВСЕ общий доступ и любой другой доступ к другим серверам, таким как другие веб-приложения.

Я предполагаю, что мне нужно оставить доступ к DC для аутентификации, но это все.

Подводя итог, пользователь может получить доступ ТОЛЬКО к:

https://owa https://someapp

|источник

1 ответ1

0

Я думаю, что самым быстрым вариантом будет создание объекта групповой политики для этого пользователя, который добавляет блокированные записи в брандмауэр для всех служб / хостов, к которым вы не хотите, чтобы они обращались.

Вероятно, вам будет легче продвигаться вперед, если через некоторое время вы сможете настроить привилегированную группу пользователей, которую вы добавите по умолчанию в разрешения для общих ресурсов и т.д. и более низкая группа, которая подпадает под неявное запрещение для большинства служб AD.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .