.png)
Ich erstelle ein AD-Konto für einen bestimmten Benutzer. Wir möchten, dass dieser Benutzer nur auf zwei Anwendungen (OWA und eine weitere webbasierte Anwendung) in unserem Netzwerk zugreifen kann und in keiner Weise auf andere Maschinen (RDP, Freigaben usw.) zugreifen kann.
Ich habe viel zu viele Server, um sie alle durchzugehen und diesen Benutzer oder diese Gruppe zu blockieren. Daher brauche ich einen GP für diesen Benutzer/diese Gruppe, um ALLE Freigabezugriffe und alle anderen Zugriffe auf andere Server, wie z. B. andere Web-Apps, zu blockieren.
Ich gehe davon aus, dass ich den Zugriff auf DC zur Authentifizierung freilassen muss, aber das ist alles.
Zusammenfassend lässt sich also sagen, dass der Benutzer NUR auf Folgendes zugreifen kann:
Antwort1
Ich denke, die schnellste Möglichkeit besteht darin, für diesen Benutzer eine Gruppenrichtlinie (GPO) zu erstellen, die in der Firewall Sperreinträge für alle Dienste/Hosts hinzufügt, auf die er keinen Zugriff haben soll.
Es wird Ihnen in Zukunft wahrscheinlich die Arbeit erleichtern, wenn Sie später etwas Zeit haben, eine privilegierte Benutzergruppe einzurichten, die Sie standardmäßig zu Berechtigungen für Freigaben usw. hinzufügen, und eine niedrigere Gruppe, die unter die implizite Verweigerung für die meisten AD-Dienste fällt.