我对 Active Directory 还很陌生,这可能是一件简单的事情,但我不确定如何去做。
我的 AD 中有一个名为 的组织单位WI,在该 OU 中我有 2 个组WI Users和WI Administrators,此外,该 OU 中还有一些用户和两台 RD 会话主机服务器。其他 OU 中还有其他用户和计算机
以下是我想要做的事情的基本规则:
- 任何属于组成员的 OU 中的任何用户
WI Users都可以作为标准用户远程登录到WIOU 中的计算机。 - 任何 OU 中属于该组成员的任何用户都将成为该 OU 中计算机上的
WI Administrators本地组的成员。AdministratorsWI WIOU中的任何用户将不会允许连接到任何资源(计算机、打印机、共享等)外部开放WI单位 (OU)。
我已经弄清楚如何使用 AD 和组策略执行除规则 3 之外的所有操作。我需要什么样的组策略才能满足第三条规则?
目前我所做的只是不将任何用户从 OU 添加WI到域级别Remote Desktop Users组,并添加WI Users到当地的 Remote Desktop Users对于 OU 中的计算机WI。但是,我在规则 3 中写的内容才是我真正想要的目标:我也想拒绝网络共享和打印机访问,但我不能像Deny在 GPO 中那样只设置 WI 用户,因为WIOU 之外的人将成为该组的成员WI Users。
答案1
您需要从每个您不希望他们访问的资源中删除'Domain Users'或'Authenticated Users',并添加您希望他们访问的组的 OU。遗憾的是,没有一种方法可以删除本地登录、共享访问和打印机的权限。
- 本地登录由
computer config->windows settings->security settings->local policies->user rights assignment允许本地登录和从网络访问这台计算机而其拒绝对应项是控制谁可以进入的设置。 - 共享打印机由实际的打印机共享权限控制,共享也是如此,但如果用户无权从网络访问计算机,则任何具有上述策略的计算机都将拒绝访问这些资源
- 有一种方法可以通过 GPO 控制共享权限,但由于性能问题,不建议这样做:http://www.windowsecurity.com/articles/Controlling-Resource-Permissions.html