我们有 70 多台电脑和服务器,用户通过电脑访问服务器来访问文件。
是否可以通过活动目录或组策略拒绝访客用户(他只能访问自己的计算机)访问网络上的所有 PC 和服务器。
我读过一些文章,建议拒绝文件共享的访问 - 转到每个文件共享并拒绝访问 - 因为我们有许多计算机和许多文件共享,这将花费很长时间,有没有更快的方法可以做到这一点?
我们正在运行服务器 2008。
如果有人能提供任何建议或指引我走上正确的道路,我将不胜感激。
答案1
假设你有不是授予每个人对象访问任何资源,您只需在来宾将使用的计算机上创建一个本地帐户即可。他们使用该帐户登录计算机,但他们甚至没有登录域,因此默认情况下他们无权访问任何域资源。
如果必须使用域帐户,请创建一个全新的域帐户,并为该帐户创建一个新的域安全组(您可以将其命名为“来宾用户”)。将该帐户添加到该组,将新组设置为用户的主要组,然后从该组中删除该用户域用户组。现在用户应该无权访问域中的任何内容,再次假设您没有授予该用户任何访问权限每个人对象,因为没有人可以向新用户或组授予过去任何内容的访问权限。
如果您已授予任何访问权限每个人,或者你有理由认为每个人可能对任何资源都有访问权限,那么你必须把它找出来并纠正它。你几乎总是可以用一个对象来代替每个人是域用户,因为一般来说,每个域帐户都是域用户(除非该帐户已被明确删除,如上所述)。请注意,您不应更改用户在工作时间使用的资源的权限,因为他们可能会因您的更改而被拒绝访问,直到下次登录并获取安全令牌为止。理想情况下,您会有一些经验丰富的顾问随时帮助您进行此类权限更改,因为很有可能意外地拒绝用户访问重要资源或授予用户访问机密信息的权限。
如果计算机永远不会被全体员工用于需要域访问,您可以将计算机专门用于访客访问,甚至不将它们加入域。最后,访客的最终分离是将相关计算机与域计算机放在不同的网络或 VLAN 上,可能通过具有多个物理或虚拟接口的防火墙共享互联网,甚至使用单独的专用防火墙和互联网连接。
答案2
如果来宾用户帐户是 Active Directory 帐户,为什么不转到 Active Directory 中的用户帐户,转到“属性”,转到“帐户”选项卡,单击“登录到...”按钮,然后输入您要允许来宾用户登录的计算机的名称?
在决定如何实施之前,还应考虑 Todd 的观点。如果您的计算机的共享配置为共享,并且 NTFS 权限为“Everyone Allow Full”,那么您需要处理这个问题。
正如 Todd 指出的那样,让访客在与生产网络分开的网络中进行访问的正确方法是让访客网络位于单独的虚拟局域网 (VLAN) 上。
很多人似乎认为允许访客访问他们的网络不是什么大问题,他们只需拨动开关即可,但不让这些访客访问他们的网络。但事实并非如此。规划可以省去很多麻烦,因此如果您认为您可能需要为访客提供互联网访问,但又不让他们进入您的生产网络,您应该花时间使用 VLAN 正确设计和隔离您的网络。这不是一项小任务,但如果配置正确,则可以正确保持两个网络隔离,同时让它们访问互联网(或其他资源,如打印机或服务器)。