我需要对登录工作站的 AD 用户进行身份验证,前提是他们属于身份验证时的安全组。在他们实际输入密码之前(他们需要满足某些要求),他们会被添加到这个特权组中,然后他们登录,一分钟后,他们就会被从组中移除。
我以为我可以使用“本地登录”GPO 来实现这一点 - 并且它几乎成功了,直到用户被从特权组中删除。这时他失去了对共享资源的访问权限。
所以我的问题是 - 如何使用安全组成员身份仅影响身份验证过程(而不是整个交互式会话)。我只关心他在身份验证时是否是这个特权组的成员。
感谢您的任何建议。
答案1
Active Directory 并非完全按照这种方式工作。在整个会话期间,您需要多次向域控制器进行身份验证,不仅是首次登录时,而且每次访问远程资源(文件共享、网络打印机、终端服务器、内部网站点等)时也需要进行身份验证。
因此,他们在登录时拥有组权限,但是一旦被剥夺,他们就会去向文件服务器进行身份验证,并且(正确地)不再具有适当的组成员身份,因此被拒绝访问。
这是一个相当奇怪的要求,但这可能会起作用:
- 创建两个组“group-permissions”和“group-login”
- 授予“group-login”本地登录权限
- 将所有其他权限(例如网络共享)授予“group-permissions”
- 将用户添加到“group-permissions”和“group-login”
- 1 分钟后从“group-login”中删除用户
- (可选)在一天或一小时后,或在用户应在计算机上完成操作时,将用户从“组权限”中删除
您将需要使用“group-permissions”组来对会话期间重新验证的任何内容进行验证 - 内部网站点、文件共享等。
这样,他们在整个会话期间都保持一个组成员身份,但无法再次本地登录。如果您允许远程登录(即登录到终端服务器或类似的东西),您可能需要使用“group-permissions”组来允许远程登录,这样他们就可以在断开连接时重新连接。