拒绝在用户自己的OU之外进行资源共享的权限

我对Active Directory相当陌生,这可能是一个简单的事情,但我不确定如何做到这一点。

我在我的AD中有一个名为WI的组织单元,在这个OU中我有两个WI UsersWI Administrators ,我也有一些用户和两个RD会话主机服务器。 其他用户也有其他的用户和计算

以下是我想要做的基本规则:

  1. 任何属于WI Users组成员的OU中的任何WI Users都可以作为标准用户远程login到WI OU中的计算机。
  2. 任何属于WI Administrators组的成员的任何用户都将成为WI OU计算机上的本地Administrators组的成员。
  3. WI OU中的任何用户不被允许连接到WI OU 之外的任何资源(计算机,打印机,共享等)。

我已经想出了如何使用AD和组策略来执行除了规则3之外的所有事情。 我需要什么样的组策略才能实现第三条规则?

目前,我所做的并不是将WI OU中的任何用户添加到域级Remote Desktop Users组,并将WI Users添加到本地 Remote Desktop Users以用于WI OU中的计算机。 但是,我在规则3中写的是我的真正目标,我想拒绝networking共享和打印机访问,但是我不能只将WI用户设置为GPO中的Deny ,因为WI OU的外部人员将成为WI Users组。

您需要从您希望他们无权访问的每个资源中删除'Domain Users''Authenticated Users' ,并为您希望访问的组添加该OU。 不幸的是,没有一种方法可以删除本地login,共享访问和打印机的权限。

  • 本地login由computer config->windows settings->security settings->local policies->user rights assignment 允许本地login从networking访问这台计算机和他们的拒绝对手是控制谁可以进入的设置。
  • 共享打印机由实际的打印机共享权限控制,共享权限也是如此,但如果用户不允许从networking访问计算机,则具有上述策略的任何计算机都将拒绝对这些资源的访问
  • 有一种方法可以通过GPO控制共享权限,但由于性能问题,不build议这样做: http : //www.windowsecurity.com/articles/Controlling-Resource-Permissions.html