我正在為特定使用者建立一個 AD 帳戶,我們只希望該使用者能夠存取我們網路上的兩個應用程式(OWA 和另一個基於 Web 的應用程式),並且不能存取任何其他電腦(RDP、共用等)。方式。
我有太多的伺服器,無法通過所有伺服器並阻止該用戶或群組,因此我需要該用戶/群組的 GP 來阻止所有共享存取以及對其他伺服器(例如其他 Web 應用程式)的任何其他存取。
我假設我需要保留對 DC 的存取權以進行身份驗證,但僅此而已。
總而言之,用戶只能訪問:
答案1
我認為最快的選擇是為該用戶建立 GPO,在防火牆中為您不希望他們訪問的所有服務/主機添加封鎖條目。
如果您稍後有時間設定預設新增到共用/等權限的特權使用者群組,這可能會讓您更輕鬆地繼續前進。較低的群組將屬於大多數 AD 服務的隱式拒絕。