最近我发现需要允许外部人员访问我的 TFS 服务器,但我必须确保他们不能访问其他服务器。这是我迄今为止尝试过的:
- 在域中创建了一个名为:“外部用户 - 没有登录”的安全组
- 更改了域组策略“拒绝本地登录”以包括该组
- 在域中创建了一个名为:“外部用户 - 无网络”的安全组
- 更改域组策略“拒绝从网络访问此计算机”以包括该组。
- 创建用户并添加到之前创建的两个组中
所有限制都可以正常工作,但这些用户也无法访问 TFS 服务器。有没有办法简单地拒绝访问网络中的任何计算机,但让连接到 TFS,比如异常,或类似的东西?
将 TFS 服务器放在它自己的 OU 中。在组策略管理控制台中,右键单击 OU 并选择阻止继承。您需要将任何 GPO 显式链接到您需要的该 OU。
在默认域组策略中没有限制可能是个好主意。为此创建一个单独的 GPO。