我已在 IIS 服务器上使用 Windows 身份验证设置了第三方 Web 应用程序。为了管理访问权限,我为外部承包商创建了一个 AD 组并将其纳入其中。这些承包商只能登录网络应用程序,而不能访问网络计算机。为了强制执行这一点,我为 AD 中的一个用户配置了“登录工作站”,并指定了 Web 服务器的名称。虽然这成功地限制了对其他计算机的访问,但它无意中阻碍了网络应用程序的身份验证。
AskOverflow.Dev
我已在 IIS 服务器上使用 Windows 身份验证设置了第三方 Web 应用程序。为了管理访问权限,我为外部承包商创建了一个 AD 组并将其纳入其中。这些承包商只能登录网络应用程序,而不能访问网络计算机。为了强制执行这一点,我为 AD 中的一个用户配置了“登录工作站”,并指定了 Web 服务器的名称。虽然这成功地限制了对其他计算机的访问,但它无意中阻碍了网络应用程序的身份验证。
概括地说:
创建组策略,将“拒绝本地登录”权限分配给安全组。
将策略链接到域的适当级别,并将其分配给所有计算机或计算机所属的特定计算机/组。WMI 过滤器还可用于区分工作站或服务器。