我们需要在 Active Directory 2008 R2 中创建一个能够发送和接收电子邮件(Exchange 2010)的用户。此用户不应能够登录域中的任何其他服务器或 PC。我们可以通过 Active Directory 中的“登录到...”选项阻止他,并限制他只能访问邮件服务器,但这是否意味着他可以进入邮件服务器并通过键盘和鼠标登录?
还有其他方法吗?
答案1
确定他不能互动地登录到您的邮件服务器是
- 正如 Greg 所说,拥有服务器的物理安全。
- 阻止普通用户的远程桌面访问。
- 确保他不属于任何可以登录服务器或计算机的组,或者
- 确保他是在被限制不能登录任何机器的组中。
例如,在我之前所处的环境中,我们在 AD 中有一个组,我们将不想登录计算机的帐户放在其中,并在默认域策略中设置这些帐户无法登录工作站。他们可以访问电子邮件,但无法登录计算机。
如果我们有他们需要登录的机器,那么这些机器就会被放入一个特殊的 OU 中,继承会被阻止,并且会创建它们自己的策略。
答案2
还有另一种方法。您可以简单地使用用户组策略来限制谁可以登录服务器。