请原谅我的天真。我不是技术人员。我们使用 Windows Active Directory 进行用户身份验证,例如登录工作站 (PC)、Citrix 等。
对于特定应用程序“xyz”,存在质量要求,即在多次登录尝试失败后禁用用户帐户。我知道 Active Directory 提供了在多次登录尝试失败后禁用用户的功能。
我的问题是,如果我专门创建一个 AD 组来访问此应用程序,我是否可以设置规则/策略来仅禁用对此应用程序的访问,以便用户仍然能够登录到他们的工作站、Citrix 等?
答案1
不是来自 Active Directory,不是。帐户要么被锁定,要么没有被锁定。在 Active Directory 中,没有办法选择性地标记某个帐户在某些服务上被锁定,但在其他服务上不被锁定。
这是相关应用程序必须支持的功能,坦率地说,我无法想象有人会费心为其创建解决方案。
我认为,你可以用一个组的成员身份来控制对该应用程序的访问,并运行一个脚本,一旦错误密码计数增加到某个值,该脚本就会从该组成员身份中删除用户(从而拒绝访问该应用程序),尽管对我来说,要找出时间来做这样的事情,这将是一个相当缓慢、无聊的一周,因为所有的真实的我必须处理的问题不是由于用户的愚蠢造成的。