Alapértelmezés szerint, amikor egy felhasználót AD-ben hoznak létre, akkor automatikusan hozzáadódik a Tartományi felhasználók csoporthoz. A tartományi felhasználók csoportot viszont alapértelmezés szerint hozzáadják a számítógép helyi felhasználói csoportjához, amikor hozzáadják az AD-tartományhoz. Ez azt jelenti, hogy bármely domain felhasználó bejelentkezhet a hálózat bármely számítógépére. Ebben a cikkben megvizsgáljuk azokat a fő módszereket, amelyekkel korlátozhatjuk a felhasználók képességét a domain számítógépekre való bejelentkezésre.
Tartalom:
- A bejelentkezés csak az AD felhasználói tulajdonságaiba tartozó számítógépekre engedélyezhető
- Módosítsa a LogonWorkstations attribútumot a PowerShell használatával
- A számítógép-hozzáférés korlátozása GPO-val
A bejelentkezés csak az AD felhasználói tulajdonságaiba tartozó számítógépekre engedélyezhető
Kis tartományokban, az egyes felhasználók tulajdonságaiban az AD-ben korlátozhatja a fiókja alá tartozó tartományi számítógépekre való bejelentkezés lehetőségét. Például azt akarja, hogy egy adott felhasználó csak a számítógépére tudjon bejelentkezni. Ehhez:
- Indítsa el az ADUC (Active Directory felhasználók és számítógépek) beépülő modult a dsa.msc parancs futtatásával.
- A keresés segítségével keresse meg azt a felhasználói fiókot, amelyet csak bizonyos számítógépekre való bejelentkezéshez és a tulajdonságainak megnyitásához engedélyezni kell.
- Ugrás a fülre számla és nyomja meg a gombot Jelentkezzen be.
- Mint láthatja, a felhasználó bejelentkezhet minden számítógépre (A felhasználó bejelentkezhet: Minden számítógépre). Annak érdekében, hogy a felhasználó hozzáférhessen bizonyos számítógépekhez, válassza a lehetőséget A következő számítógépek és adja hozzá a listához a bejelentkezéshez engedélyezett számítógépek nevét.
megjegyzés. Meg kell adnia a teljes NetBIOS vagy DNS számítógép nevét (helyettesítő karakter nem használható), a paraméter kis- és nagybetűket nem érzékeny. - A listához felvehető számítógépek száma 64-re korlátozódik. Amikor 65 számítógépet próbál hozzáadni, egy hibaüzenet jelenik meg: Ez a tulajdonság 64 értékre korlátozódik. Az új hozzáadása előtt el kell távolítania néhány meglévő értéket.
- Mentse el a változtatásokat. Most a felhasználó csak meghatározott számítógépekre jelentkezhet be.
megjegyzés. Meg kell adnia a teljes NetBIOS vagy DNS számítógép nevét (helyettesítő karakter nem használható), a paraméter kis- és nagybetűket nem érzékeny.
Módosítsa a LogonWorkstations attribútumot a PowerShell használatával
A felhasználók kézi korlátozása a domain számítógépekbe való belépésről elég unalmas. A PowerShell segítségével automatizálhatja ezt a műveletet. Azon számítógépek listája, amelyekbe a felhasználó beléphet, az AD felhasználói attribútumában tárolódik - LogonWorkstations. Például az a feladatunk, hogy lehetővé tegyük egy adott felhasználónak, hogy csak olyan számítógépekre jelentkezzen be, amelyek nevét a kompiuter.csv szövegfájl tartalmazza.
A szkript így néz ki (először betöltjük az AD modult a Powershell számára):
Importmodul ActiveDirectory
$ ADusername = 'aapetrov'
$ complist = Import-Csv -Path "C: \ PS \ számítógépek.csv" | ForEach-Object $ _. NetBIOSName
$ összehasonlítás = $ complist -join ","
Set-ADUser -Identity $ ADusername -LogonWorkstations $ összehasonlítás
Törölje a változókat
A következő parancs segítségével felsorolhatja azokat a számítógépeket, amelyekbe a felhasználó beléphet a Get-ADUser parancsmag segítségével.
Get-ADUser $ ADusername -Properties LogonWorkstations | Format-lista neve, LogonWorkstations
Vagy megtekintheti a számítógépek listáját az ADUC konzolon.
Új számítógép felvételéhez a listába használja a következő parancsot:
$ Wks = (Get-ADUser dvivannikov - Tulajdonságok a LogonWorkstations) .LogonWorkstations
$ Wks + = ", newpc"
Set-ADUser aapetrov -LogonWorkstations $ Wks
A számítógép-hozzáférés korlátozása GPO-val
Nagy területeken a korlátozások és a rugalmasság hiánya miatt a LogonWorkstations felhasználói tulajdonságainak korlátozása a felhasználók számítógéphez való hozzáférésének korlátozása érdekében nem praktikus. Általában annak megakadályozása érdekében, hogy a felhasználók bejelentkezzenek néhány számítógépre? használja a csoportházirendeket.
A korlátozott csoportok házirendjével (Windows beállítások -> Biztonsági beállítások) korlátozhatja a helyi Felhasználók csoport felhasználói listáját, de megfontolunk egy másik lehetőséget.
Két csoportházirend található a Számítógép konfigurációja alatt -> Házirendek -> Biztonsági beállítások -> Helyi házirendek -> Felhasználói jogok kiosztása (Felhasználói házirendek -> Házirendek -> Biztonsági beállítások -> Helyi házirendek -> Felhasználói jogok kiosztása):
- Helytelen belépés megtagadása (Helyi bejelentkezés megtagadása) - lehetővé teszi, hogy megtiltja a számítógépekre történő helyi bejelentkezés bizonyos felhasználók vagy csoportok számára;
- Helyi bejelentkezés engedélyezése (Helyi bejelentkezés) - azon felhasználók és csoportok listáját tartalmazza, akik helyi szinten bejelentkezhetnek a számítógépre.
Például annak megakadályozása érdekében, hogy egy adott csoport felhasználói bejelentkezzenek egy adott OU számítógépére, létrehozhat egy külön felhasználói csoportot, hozzáadhatja azt a helyi bejelentkezés megtagadásának házirendjéhez, és hozzárendelheti az OU-hoz olyan számítógépekkel, amelyekhez korlátozni kívánja a hozzáférést..
Nagy területeken ezeknek a házirendeknek a kombinációját is használhatja. Például meg szeretné akadályozni, hogy a felhasználók bejelentkezzenek más OU számítógépekre.
Ehhez létre kell hoznia egy biztonsági csoportot minden egyes felhasználói egységbe, ahol az összes felhasználói felhasználót be kell vonnia.
tanács. A csoportokat az OU felhasználók automatikusan kitölthetik a PowerShell parancsmagokkal, a Get-ADUser és az Add-ADGroupMember paranccsal a következő parancsfájl segítségével:Importmodul ActiveDirectory
$ rootOU = “OU = Felhasználók, OU = MSK, DC = winitpro, DC = ru”
$ group = “corp \ msk-users”
Get-ADUser -SearchBase $ rootOu -Filter * | ForEach-Object Add-ADGroupMember -Identity $ group -Members $ _
Ezután engedélyeznie kell a házirendet Helyi bejelentkezés engedélyezése, vegye fel ezt a csoportot (+ különféle adminisztratív csoportok: tartományi rendszergazdák, munkaállomás rendszergazdák stb.), és rendeljen hozzá egy házirendet az OU-hoz a számítógépekkel. Így csak egy adott OU felhasználói számára engedélyezheti a számítógépen történő bejelentkezést.
Amikor megpróbál bejelentkezni egy olyan felhasználóhoz, akinek nem engedélyezett a helyi bejelentkezés, megjelenik egy figyelmeztető ablak:
Nem tud bejelentkezni, mert a használt bejelentkezési módszer nem engedélyezett ezen a számítógépen. További információkért forduljon a hálózati rendszergazdához.vagy
A bejelentkezés módja, amelyet megpróbál használni, nem engedélyezett. További információkért vegye fel a kapcsolatot a hálózati rendszergazdával.
Néhány fontos szempont ezekkel a politikákkal kapcsolatban:
- Nem szabad alkalmazni ezeket az irányelveket a kiszolgálókhoz, és még inkább a tartományvezérlőkhöz való hozzáférés korlátozására. Hogyan lehet lehetővé tenni a rendszeres RDP felhasználók számára a DC hozzáférést?.
- Ne engedélyezze ezeket a házirendeket a szokásos GPO-k révén: Alapértelmezett tartományirend vagy Alapértelmezett tartományvezérlő házirend.
- A tilalmi politika elsőbbséget élvez.
- Ne felejtsük el a szolgáltatási fiókokat (beleértve a gMSA-t is), amelyek felhasználhatók a szolgáltatások számítógépen történő indításához.
- Nem szabad olyan irányelveket alkalmaznia, amelyek korlátozzák a helyi bejelentkezést a teljes domainre. Rendelje őket konkrét OU-khoz.
