我正在尝试在 Active Directory 中为外部公司设置一个受限帐户。他们需要连接到一台服务器来设置他们的软件。我创建了一个名为“受限访问”的新组,将其设为主要组,并将其从所有其他组(包括域用户)中删除。我尚未向他们分配他们应该有权访问的服务器的任何权限。
但显然这还不足以阻止他们登录我的所有服务器。他们无法通过 RDP 访问任何内容,但可以本地登录我的 Windows 2008R2 服务器。
我查看了所有组策略,但“计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配\允许本地登录”未定义。
在本地安全策略中,相同的设置列出了“管理员、备份操作员、用户”。用户是否包括活动目录中的任何人,即使他们不在域用户中?
我希望这个特定用户只能登录一个服务器来设置他们的软件。我需要做什么才能阻止他们登录其他系统?
编辑:进一步挖掘显示,经过身份验证的用户和 INTERACTIVE 是本地用户组的成员……从我读到的内容来看,改变这一点可能不明智。那么,创建一个无权访问任何内容的用户帐户,然后授予他们对几台机器的特定权限的正确方法是什么?
答案1
您需要使用 ADUC 中用户帐户的帐户选项卡中的“登录到”属性来限制此操作。不要为需要限制的单个用户而费心处理 GPO。