Заблокируйте ЛЮБОЙ доступ ко ВСЕМ серверам в нашей сети (Shares, RDP, Web и т. Д.)

201
user2471951

Я создаю учетную запись AD для определенного пользователя, мы только хотим, чтобы этот пользователь имел доступ к двум приложениям (OWA и другим веб-приложениям) в нашей сети и не получал доступ к ЛЮБЫМ другим машинам (RDP, общим ресурсам и т. Д.) В любом путь.

У меня слишком много серверов, чтобы пройти через все из них и заблокировать этого пользователя или группу, поэтому мне нужен GP для этого пользователя / группы, чтобы заблокировать ВСЕ общий доступ и любой другой доступ к другим серверам, таким как другие веб-приложения.

Я предполагаю, что мне нужно оставить доступ к DC для аутентификации, но это все.

Подводя итог, пользователь может получить доступ ТОЛЬКО к:

https: // owa https: // someapp

0

1 ответ на вопрос

0
LostWander

Я думаю, что самым быстрым вариантом будет создание объекта групповой политики для этого пользователя, который добавляет блокированные записи в брандмауэр для всех служб / хостов, к которым вы не хотите, чтобы они обращались.

Вероятно, вам будет легче продвигаться вперед, если через некоторое время вы сможете настроить привилегированную группу пользователей, которую вы добавите по умолчанию в разрешения для общих ресурсов и т. Д. и более низкая группа, которая подпадает под неявное запрещение для большинства служб AD.

список слишком велик для этого ... могу ли я добавить знак запрета, а затем разрешение для двух сайтов? user2471951 6 лет назад 0
Вы можете добавить общее «запретить все», а затем добавить специальные правила разрешения. Я, честно говоря, не уверен, как брандмауэр Windows обрабатывает перекрытия правил, но, надеюсь, это будет похоже на большинство разрешений, в которых конкретные переопределения являются общими. Изменить: Это, вероятно, будет грязно, хотя и потребует некоторого тестирования, чтобы убедиться, что все работает. Кто этот человек, что им нужно больше, чем 10-15 самых распространенных сервисов заблокированных? LostWander 6 лет назад 0
консультант должен иметь доступ только к этим двум приложениям, больше ничего в сети, но будет сидеть в обычной сети. user2471951 6 лет назад 0

Похожие вопросы