Início / server / Perguntas / 1117524
Accepted
Joel Coel
Asked: 2022-12-08 13:19:19 +0800 CST

Limitar o usuário do AD a fazer login apenas no computador em uma UO específica

  • 772

Temos um domínio AD (ainda no local) que oferece suporte a uma biblioteca, entre outras coisas. Essa biblioteca tem vários computadores públicos e esses computadores públicos estão em sua própria UO no Active Directory. Também temos um publiclogin de convidado genérico que nossos bibliotecários podem usar para dar aos convidados externos acesso às máquinas.

Quero limitar esta conta — e apenas esta conta — para que ela possa acessar apenas computadores na PublicComputersUO.

Temos muitos outros usuários que também devem conseguir fazer login nesses computadores e em outros.

Estou ciente do Log On To...botão em um objeto User no AD, mas este é um ajuste ruim, pois esses computadores vêm e vão. A associação OU é mantida por outros motivos, mas se precisarmos usar esse botão toda vez que um computador se mover, ele rapidamente ficará desatualizado.

As partes relevantes da nossa hierarquia AD são assim:

Domain Root > InstitutionComputers > Library > PublicComputers
            > ServiceAccounts > public
            > Users (group) > {ManyOtherUsers}
            > OtherOU > {ManyOtherUsers}

Como posso fazer isso?

Eu tentei definir uma política Negar Logon no nível do domínio para incluir a conta pública e, em seguida, outra política Negar Logon no nível OU mais específico que não inclui a conta.

Ao testar, isso funciona em algumas máquinas, mas outras bloquearão o login do usuário público. , mas confirmei que a máquina é membro da UO correta. Além disso, gpresultmostra ambas as políticas. (Estou adicionando essas informações à pergunta também), então sei que a política mais específica está correspondendo a esses computadores. Isso continua acontecendo mesmo depois de executar gpupdate /forcee reiniciar o computador.

Acontece que eu tinha uma concepção errada de como "imposto" funciona na Diretiva de Grupo, onde é mais como css !important vs ativado/desativado. Desmarcar "imposto" permitiu que as regras de precedência documentadas funcionassem, enquanto ainda aplicavam todas as políticas.

active-directory

1 respostas

  1. Best Answer

    Crie 2 GPOs:

    1. GPO de nível de domínio. Adicionar publicusuário à política de segurança Negar logon local
    2. GPO de nível OU (a OU que possui objetos de computador). Configure Negar logon localmente como vazio (ou o que você precisar, caso tenha outros usuários que precise bloquear)

    Para obter mais informações, consulte os documentos da Microsoft: https://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/deny-log-on-locally

    A precedência de execução funciona em reversão em comparação com a ordem de aplicação usual:

    Se houver configurações conflitantes em GPOs que são aplicadas em dois níveis da hierarquia, a configuração aplicada mais distante do cliente prevalecerá. Essa é uma reversão da regra usual, na qual a configuração do GPO vinculado mais próximo prevaleceria.

    https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc758377(v=ws.10)?redirectedfrom=MSDN

    • 2

relate perguntas