Недавно я обнаружил необходимость разрешить доступ внешним пользователям к моему серверу TFS, но я должен быть уверен, что они не смогут получить доступ к другим серверам. Вот что я пробовал до сих пор:
- Создал группу безопасности в домене под названием: «внешние пользователи — без входа»
- Изменена групповая политика домена «Запретить локальный вход в систему», чтобы включить эту группу.
- Создал группу безопасности в домене под названием: «внешние пользователи — без сети»
- Изменена групповая политика домена «Запретить доступ к этому компьютеру из сети», чтобы включить эту группу.
- Создал пользователя и добавил его в две ранее созданные группы.
Все ограничения работают нормально, но также сервер TFS стал недоступен для этих пользователей. Есть ли способ просто запретить доступ любому компьютеру в сети, но разрешить подключение к TFS, как исключение или что-то в этом роде?
решение1
Поместите сервер TFS в его собственную OU. В консоли управления групповой политикой щелкните правой кнопкой мыши OU и выберите «Блокировать наследование». Вам нужно будет явно связать все GPO с этой OU, которая вам нужна.
Вероятно, хорошей идеей будет не иметь ограничений в групповой политике домена по умолчанию. Создайте для этого отдельный GPO.