Vor kurzem habe ich festgestellt, dass ich externen Personen den Zugriff auf meinen TFS-Server erlauben muss, aber ich muss sicher sein, dass sie nicht auf andere Server zugreifen können. Das habe ich bisher versucht:
- Eine Sicherheitsgruppe in der Domäne mit dem Namen „Externe Benutzer – kein Login“ wurde erstellt.
- Die Domänengruppenrichtlinie „Lokale Anmeldung verweigern“ wurde geändert, um diese Gruppe einzuschließen.
- Eine Sicherheitsgruppe in der Domäne mit dem Namen „Externe Benutzer – kein Netzwerk“ wurde erstellt.
- Die Domänengruppenrichtlinie „Zugriff auf diesen Computer vom Netzwerk aus verweigern“ wurde geändert, um diese Gruppe einzuschließen.
- Der Benutzer wurde erstellt und zu den beiden zuvor erstellten Gruppen hinzugefügt
Alle Einschränkungen funktionieren einwandfrei, aber auch der TFS-Server ist für diese Benutzer nicht mehr zugänglich. Gibt es eine Möglichkeit, jedem Computer im Netzwerk einfach den Zugriff zu verweigern, aber die Verbindung zu TFS zuzulassen, wie eine Ausnahme oder so etwas?
Antwort1
Platzieren Sie den TFS-Server in seiner eigenen Organisationseinheit. Klicken Sie in der Gruppenrichtlinien-Verwaltungskonsole mit der rechten Maustaste auf die Organisationseinheit und wählen Sie „Vererbung blockieren“. Sie müssen alle GPOs, die Sie benötigen, explizit mit dieser Organisationseinheit verknüpfen.
Es ist wahrscheinlich eine gute Idee, die Einschränkungen nicht in der Standarddomänengruppenrichtlinie zu haben. Erstellen Sie dafür ein separates Gruppenrichtlinienobjekt.