特定のユーザー用の AD アカウントを作成しています。そのユーザーがネットワーク上の 2 つのアプリケーション (OWA と別の Web ベース) にのみアクセスできるようにし、他のマシン (RDP、共有など) には一切アクセスできないようにしたいと考えています。
サーバーの数が多すぎて、すべてのサーバーを調べてそのユーザーまたはグループをブロックすることはできないため、そのユーザー/グループがすべての共有アクセスと、他の Web アプリなどの他のサーバーへのその他のアクセスをブロックするための GP が必要です。
認証のために DC へのアクセスを残す必要があると想定していますが、それだけです。
まとめると、ユーザーは次にのみアクセスできます:
答え1
最も簡単なオプションは、そのユーザーに対して、アクセスさせたくないすべてのサービス/ホストのブロック エントリをファイアウォールに追加する GPO を実行することだと思います。
後で時間があれば、共有などのアクセス許可にデフォルトで追加する特権ユーザー グループと、ほとんどの AD サービスに対して暗黙的に拒否される下位グループを設定しておくと、今後の作業がより簡単になるでしょう。