因此,我管理这个域,其中的用户主要是我们公司的员工,他们可以登录我们域内的公司计算机。这实际上是开箱即用的支持,因为默认情况下所有用户都是如此Domain Users。
但是我也有这些第三方软件提供商,他们要求在某些服务器上具有管理员角色的帐户,但通常需要禁止登录其他域计算机。
以下是我尝试过的方法:假设我创建了一个名为 John 的帐户,并为其分配了一个安全组ThirdPartyStaff SG作为其主要组。然后他被从内置Domain Users组中删除。现在,他既不是ThirdPartyStaff SG也不John是任何其他组的成员。然后ThirdPartyStaff SG在某个服务器上具有管理员角色。所以John应该无法访问任何域资源,对吧?但他仍然可以本地登录任何域计算机(不是远程登录,因为他既不在管理员组中也不在 RDP 组中)。
所以现在我担心除了本地登录之外,他可能还有我不知道的其他权限(如共享文件夹或远程计划任务管理等)。
现在我必须制定一条特定规则,规定ThirdPartyStaff SG通过 GPO 拒绝本地登录,以阻止他们登录。虽然这可以解决问题,但我真的想知道:
- 这种行为背后的原因(或者我理解错误的原因)
- 你通常会如何对待第三方员工,只授予他们你指定的权利,并剥夺其他一切权利——这是一种万无一失的方法,不需要太多容易忘记的调整
谢谢。
答案1
我将使用域用户帐户的“登录到”选项来解决这个问题http://ravingroo.com/267/active-directory-user-workstation-logon-restriction/