.png)
Я создаю учетную запись AD для определенного пользователя. Мы хотим, чтобы этот пользователь имел доступ только к двум приложениям (OWA и другому веб-приложению) в нашей сети и не имел доступа ни к каким другим машинам (RDP, общим папкам и т. д.).
У меня слишком много серверов, чтобы обойти их все и заблокировать этого пользователя или группу, поэтому мне нужен GP для этого пользователя/группы, чтобы заблокировать ВЕСЬ доступ к общим ресурсам и любой другой доступ к другим серверам, например, к другим веб-приложениям.
Я предполагаю, что мне нужно оставить доступ к DC для аутентификации, но это все.
Итак, подведем итог: пользователь может получить доступ ТОЛЬКО к:
решение1
Я думаю, самым быстрым вариантом будет создать GPO для этого пользователя, который добавит в брандмауэр записи блокировки для всех служб/хостов, к которым вы не хотите предоставлять им доступ.
Вероятно, вам будет проще двигаться дальше, если позже у вас будет время настроить привилегированную группу пользователей, которую вы добавите по умолчанию к разрешениям на общие ресурсы и т. д., и группу с более низкими правами, которая будет подпадать под неявный запрет для большинства служб AD.