我需要validationAD用户login到他们的工作站,只有当他们属于安全组在authentication的时刻。 在他们实际input密码(他们需要满足某些要求)之前,他们被添加到这个特权组中,然后他们login,一分钟后他们被从组中删除。
我以为我可以用“login本地”GPO – 它几乎工作,直到用户被从特权组中删除。 这是他失去对共享资源的访问权限。
所以我的问题是 – 如何影响使用安全组成员资格的唯一身份validation过程(而不是整个交互式会话)。 我只关心在身份validation时他是否是这个特权组的成员。
谢谢你的任何build议。
活动目录不完全是这样工作的。 您在整个会话期间多次向域控制器进行身份validation,不仅仅是初次login,还会每次访问远程资源(文件共享,networking打印机,terminal服务器,Intranet站点等)。
因此,他们在login时拥有组权限,但是一旦他们被带走,他们就会向文件服务器进行身份validation,并且(正确)不再具有相应的组成员资格,因此会被拒绝访问。
这是一个相当奇怪的要求,但这可能工作:
在会话期间,您需要使用“组权限”组对其进行重新validation的任何内容 – 内部网站点,文件共享等。
这样,他们维护整个会话的一个组成员资格,但不能第二次在本地login。 如果您允许远程login(例如,terminal服务器或其他),则可能需要使用“group-permissions”组来远程login,以便在断开连接时重新连接。