我们公司有几个重要的服务帐户。偶尔会有人试图登录其中一个不应该登录的帐户。(不是恶意的,只是想用错误的方式完成工作。)
几次登录失败后,账户被锁定。然后...糟糕的事情...发生了。
有没有办法在 Active Directory 中设置用户,以便它将完全忽略登录尝试,除非该登录尝试来自服务器名称的白名单?
注意:通过“完全忽略”,我的意思是它无法登录并且不会因尝试失败而被锁定。
答案1
我能想到的唯一办法就是让我们创建一个 GPO,将该用户的“作为服务登录”权限设置为拒绝。
从现在开始,有几种不同的方法可以做到这一点,具体取决于您的 OU 的配置方式。
将该拒绝 GPO 应用于所有所需主机,即未批准的计算机。可能是一个“排除”选项,您可以在此处使用它来排除您希望帐户成功作为服务运行的主机。如果这不是一个选项,您可以将该拒绝 GPO 应用于所有主机,然后将已批准的主机放在子 OU 中,并对这些已批准的主机应用允许“作为服务登录”。由于批准更接近主机,它将覆盖拒绝。