限制電腦僅讓指定的AD使用者登入

權限 windows 微軟 ad 網域帳號

shawme 2012-09-04 11:51:18 ‧ 36938 瀏覽

分享至

小弟在客戶那遇到一個需求

客戶網域裡有些client屬於service server
他們希望僅開放給某群組裡的使用者登入
我想來想去只有GPO裡的"限制本機登入"比較適合

我的想法是
新增一個群組並設定在"限制本機登入"
該群組裡的成員是"指定的AD使用者"之外的的全部AD使用者
再將GPO套用到指定的電腦(套用到整個網域，於"安全性篩選"裡加入指定的電腦)

但是這樣有個後續的管理麻煩
日後客戶新增了AD使用者的時候，必須再將帳號加到限制的群組裡

有沒有前輩也在客戶端遇到相同的需求呢??

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

vino1

iT邦大師 1 級 ‧ 2012-09-06 02:06:20

最佳解答

底下討論有您需求的解答
http://ithelp.ithome.com.tw/question/10026686

另外,關於您GPO的設定方法, 其實沒有那樣複雜,
在GPO的安全性設定裡面, 會有個 Aututhenticated Users的權限,
基本上, 有這個權限的話, 代表整個網域的帳號都會套用到這個GPO,
您可以另建立一個 A 群組, 將可以登入本機的網域帳號加入這個 A 群組中,
然後, 開啟拒絕登入本機GPO的安全性設定介面, 加入 A 群組,
將 A 群組權限 [套用群組原則] 設為 [拒絕], 將 [讀取] 設定為 [拒絕]。

下圖範例為敝司IE派送 proxy 設定的GPO, NO_PPROXY群組為不套用proxy設定群組