iT邦幫忙

0

限制電腦僅讓指定的AD使用者登入

shawme 2012-09-04 11:51:1821793 瀏覽

小弟在客戶那遇到一個需求

客戶網域裡有些client屬於service server
他們希望僅開放給某群組裡的使用者登入
我想來想去只有GPO裡的"限制本機登入"比較適合

我的想法是
新增一個群組並設定在"限制本機登入"
該群組裡的成員是"指定的AD使用者"之外的的全部AD使用者
再將GPO套用到指定的電腦(套用到整個網域,於"安全性篩選"裡加入指定的電腦)

但是這樣有個後續的管理麻煩
日後客戶新增了AD使用者的時候,必須再將帳號加到限制的群組裡

有沒有前輩也在客戶端遇到相同的需求呢??

2 個回答

4
vino1
iT邦大師 1 級 ‧ 2012-09-06 02:06:20
最佳解答

底下討論有您需求的解答
http://ithelp.ithome.com.tw/question/10026686

另外,關於您GPO的設定方法, 其實沒有那樣複雜,
在GPO的安全性設定裡面, 會有個 Aututhenticated Users的權限,
基本上, 有這個權限的話, 代表整個網域的帳號都會套用到這個GPO,
您可以另建立一個 A 群組, 將可以登入本機的網域帳號加入這個 A 群組中,
然後, 開啟拒絕登入本機GPO的安全性設定介面, 加入 A 群組,
將 A 群組權限 [套用群組原則] 設為 [拒絕], 將 [讀取] 設定為 [拒絕]。

下圖範例為敝司IE派送 proxy 設定的GPO, NO_PPROXY群組為不套用proxy設定群組

2
jazozazo
iT邦高手 1 級 ‧ 2012-09-04 11:54:15

shawme提到:
網域裡有些client屬於service server
他們希望僅開放給某群組裡的使用者登入

將那些client主機關閉所有本機帳號
限制那些主機只接受某些人的登入帳號
所以將那些client主機另外建立一個ou存放
另外編輯gpo存取限制

看更多先前的回應...收起先前的回應...
shawme iT邦新手 4 級 ‧ 2012-09-04 11:58:16 檢舉

Jazozazo大大

是我發問沒描述清楚
客戶是希望僅開戶給指定的AD使用者做登入
如果將本機帳號關閉,AD使用者仍然可以登入到Client端不是嗎??

jazozazo iT邦高手 1 級 ‧ 2012-09-04 12:03:27 檢舉

有一做法如下
例如 有 A B C 3個帳號
a限制只能登入a 電腦
b限制只能登入b電腦
c能登入 A B C 三部電腦

電腦數不多 可以先這樣做
要是數量多 就要另外再幫樓主想看看

shawme iT邦新手 4 級 ‧ 2012-09-04 13:47:55 檢舉

客戶端的電腦端近千台
所以...此方法萬萬不可啊><

jazozazo iT邦高手 1 級 ‧ 2012-09-04 14:29:54 檢舉

那要看看有沒有善心人士願意提供logon.script

我要發表回答

立即登入回答