所以我pipe理这个域,其中用户主要是我们公司的员工谁被允许login到我们的域内的公司电脑。 这实际上是开箱即用的,因为所有用户都是默认的Domain Users 。
但是,我也有这些第三方软件提供商需要在某些服务器上具有pipe理员angular色的帐户,但通常需要禁止login到其他域计算机。
以下是我所尝试的:假设我创build了一个名为John的帐户,他被分配了安全组ThirdPartyStaff SG作为他的主要组。 他然后从内置的“ Domain Users组中删除。 现在ThirdPartyStaff SG和John都不是任何其他组的成员。 然后ThirdPartyStaff SG在某个服务器上具有pipe理angular色。 所以John不应该能够访问任何域名资源,对吧? 但他仍然可以在本地login到任何域计算机(不是远程的,因为他既不在pipe理员也不在RDP组)。
所以现在我担心,除了本地login之外,他可能还有其他权限(比如共享文件夹或远程计划任务pipe理等),我不知道。
现在我必须提出一个具体的规则,说明ThirdPartyStaff SG拒绝通过GPO进行本地login,以阻止他们login。 虽然这个窍门,但我真的想知道:
谢谢。
我将使用域用户帐户的“login到”选项来解决此问题http://ravingroo.com/267/active-directory-user-workstation-logon-restriction/