我正在为特定用户创建一个 AD 帐户,我们只希望该用户能够访问我们网络上的两个应用程序(OWA 和另一个基于 Web 的应用程序),而不能以任何方式访问任何其他机器(RDP、共享等)。
我有太多服务器需要遍历所有服务器并阻止该用户或组,因此我需要一个 GP 来阻止该用户/组的所有共享访问以及对其他服务器(例如其他 Web 应用程序)的任何其他访问。
我假设我需要保留对 DC 的访问权限以进行身份验证,但仅此而已。
总而言之,用户只能访问:
答案1
我认为最快的选择是为该用户创建一个 GPO,在防火墙中添加您不希望他们访问的所有服务/主机的阻止条目。
如果您以后有时间设置一个特权用户组(默认情况下将其添加到共享/等的权限)和一个属于大多数 AD 服务的隐式拒绝的较低组,这可能会让您更轻松地进行下一步。