我有这样的要求:我的 AD 域控制器中有一个特定的域用户“Superuser1”,我想要为其设置以下规则:
阻止此用户访问网络驱动器(网络共享)和共享文件夹在所有工作站上,并允许访问特定工作站上的同一共享
例如:阻止 Superuser1 从连接到域的所有 PC(一台特定 PC 除外)进行网络访问。
这是必需的,因为“Superuser1”对共享文件夹拥有最高权限 - 因此我需要限制此用户帐户只能从一台计算机访问网络共享
有一个名为“拒绝从网络访问这台计算机”的选项 - 但这会限制对应用此 GPO 的所有 PC 的访问
有没有可能使用 GPO 来实现这一点?如果没有,还有其他方法可以做到这一点吗?
我尝试寻找答案,但找不到匹配项。请帮忙。任何建议都值得赞赏
答案1
一种方法是创建一个 GPO,将 Superuser1 添加到“拒绝本地登录”用户权限,然后将此 GPO 应用于除您要允许他们登录的计算机之外的所有计算机。这将阻止他们在除不在此 GPO 范围内的计算机之外的任何计算机上本地登录。