我想知道是否以及如何知道 AD 用户是否可以在服务器上交互登录Windows 域。
我需要知道是否可以使用 LDAP 搜索找到它。
答案1
LDAP 搜索是不够的,因为执行交互式登录的能力由目标计算机中的安全策略控制。
策略本身(“允许交互式登录”)可以由域中的组策略进行管理(您可以使用 RSOP 进行检查,但不能使用 LDAP),但也可以在任何给定的计算机上手动配置;此外,执行交互式登录的权限可以分配给用户或组,这进一步使事情复杂化。
简而言之,涉及多个设置来定义谁被允许在哪里登录;没有快速、简单和通用的方法来回答您的问题;即使 RSOP 在这里也只能提供一点帮助,因为它只能检查域策略,而不能检查本地策略。
答案2
严格通过 LDAP?不,这是不可能的。服务器上的组策略设置可以控制帐户是否可以登录,并且这些策略无法通过 LDAP 访问。
答案3
这不是 LDAP 搜索 - 不是直接的 - 并且有各种设置发挥作用。
此设置由 GPO 或本地安全策略控制。
参见本地安全政策 => 本地政策
进一步发挥作用,2.1.1 交互式登录认证:
用户可以使用本地用户帐户进行本地登录或使用域帐户进行域登录来执行交互式登录。交互式登录过程使用用户本地计算机上的安全帐户数据库或域的目录服务来确认用户的身份。对于域中的用户,此强制登录过程无法关闭。