假设我们有 3 个域(和 3 个 DC),其中 contoso.local 是根域,dep1.contoso.local 是 contoso.local 的子域,dep2.contoso.local 是 contoso.local 的另一个子域
显然,这些域之间的信任关系是可传递的,根据或安全审计公司的说法,这不够安全,我们需要删除 dep1.contoso.local 和 dep2.contoso.local 之间的信任关系。
我知道删除子域之间的信任是不可能的,但有可能出现这样的情况:dep1 的客户端无法登录自加入 dep2 子域的客户端并且每个域的 DC 都可以仍能见面?
任何提示都非常感谢。
答案1
当你要求暗示,以下内容应该会为您指明正确的方向;您可以根据您的特定需求进行调整。
使用组策略,您可以配置以下用户权限分配的任意组合Computer Configuration \ Policies \ Windows Settings \ Security Settings \ Local Policies \ User Rights Assignment ->
- 从网络访问此计算机
- 允许本地登录
- 允许通过远程桌面服务登录
- 拒绝本地登录
- 拒绝通过远程桌面服务登录
为了达到预期的效果,你可以
- 将 GPO 应用于 DEP1 中的所有计算机,以应用“拒绝本地登录”用户权限
DEP2\Domain Users
(反之亦然),或 - 将 GPO 应用于 DEP1 中的所有计算机,以将“允许本地登录”用户权限应用于仅有的
Administrators
和DEP1\Domain Users
(反之亦然) - 尽管这会破坏本地帐户的登录,或者 Authenticated Users
应用从本地组中删除的 GPOUsers
,- 等等