Како дозволити / забранити корисницима приступ рачунару у АД домену

Када се корисник креира у АД-у, подразумевано се аутоматски додаје у групу Корисници домена. Група корисника домена, заузврат, додаје се локалној групи корисника на рачунару када се дода у АД домен. То значи да се сваки корисник домене може пријавити на било који рачунар на мрежи. У овом ћемо чланку размотрити главне начине ограничавања могућности корисника да се пријаве на рачунаре са доменом.

Садржај:

  • Дозволите да се пријавите само на одређене рачунаре у АД корисничким својствима
  • Измените атрибут ЛогонВоркстатионс користећи ПоверСхелл
  • Ограничавање приступа рачунару коришћењем ГПО-а

Дозволите да се пријавите само на одређене рачунаре у АД корисничким својствима

У малим доменима, у својствима сваког корисника у АД-у, можете ограничити могућност пријављивања на рачунаре домена под његовим налогом. На примјер, желите да одређени корисник може бити пријављен само на свом рачунару. Да бисте то урадили:

  1. Покрените снабдевање АДУЦ (Ацтиве Дирецтори Корисници и рачунари) покретањем наредбе дса.мсц.
  2. Помоћу претраживања пронађите кориснички налог који треба дозволити да се пријављује само на одређене рачунаре и отворите његове особине.
  3. Идите на картицу Рачун и притисните дугме Пријавите се на.
  4. Као што можете видети, кориснику је дозвољено да се пријави на све рачунаре (Корисник се може пријавити на: Сав рачунар). Да бисте кориснику омогућили приступ одређеним рачунарима, одаберите опцију Следећи рачунари и на листу додајте имена рачунара којима је дозвољено пријављивање. Напомена. Морате навести пуно име рачунара НетБИОС или ДНС (замјенски знак се не може користити), а параметар не разликује велика и мала слова.
  5. Број рачунара који се могу додати на ову листу је ограничен на 64. Када покушате да додате 65 рачунара, појављује се порука о грешци: Ово својство је ограничено на 64 вредности. Морате уклонити неке од постојећих вредности да бисте могли да додате нове.
  6. Сачувајте измене. Сада се корисник може пријавити само на одређене рачунаре.

Измените атрибут ЛогонВоркстатионс користећи ПоверСхелл

Ручно ограничавање корисника да уђу у рачунаре домена прилично је заморно. Помоћу ПоверСхелл-а можете да аутоматизујете ову акцију. Листа рачунара којима је корисник дозвољен унос се чува у корисничком атрибуту у АД-у - Логонворкстатионс. На пример, наш задатак је омогућити одређеном кориснику да се пријављује само на рачунаре чија су имена садржана у текстуалној датотеци цомпутерс.цсв

Скрипта може изгледати овако (прво учитавамо АД модул за Поверсхелл):

Увозни модул АцтивеДирецтори
$ АДусернаме = 'аапетров'
$ цомплист = Импорт-Цсв-Патх "Ц: \ ПС \ цомпутерс.цсв" | ФорЕацх-Објецт $ _. НетБИОСНаме
$ цомпарраи = $ цомплист-придружи се ","
Сет-АДУсер -Идентити $ АДусернаме -ЛогонВоркстатионс $ цомпарраи
Обришите променљиве променљиве

Следећом наредбом можете да наведете рачунаре на које корисник може да уђе помоћу цмдлета Гет-АДУсер.

Гет-АДУсер $ АДусернаме -Пропертиес ЛогонВоркстатионс | Назив формата-листе, ЛогонВоркстатионс

Или можете видети листу рачунара у АДУЦ конзоли.

За додавање новог рачунара на листу користите следећу наредбу:

$ Вкс = (Гет-АДУсер двиванников -Пропертиес ЛогонВоркстатионс) .ЛогонВоркстатионс
$ Вкс + = ", невпц"
Сет-АДУсер аапетров -ЛогонВоркстатионс $ Вкс

Ограничавање приступа рачунару коришћењем ГПО-а

У великим доменима, коришћење корисничких својстава ЛогонВоркстатионс за ограничавање приступа корисника рачунарима је непрактично због ограничења и недостатка флексибилности. Обично да спречите кориснике да се пријављују на неке рачунаре? користите групне политике.

Списак корисника у локалној групи корисника можете ограничити коришћењем правила Ограничене групе (Подешавања Виндовс-а -> Безбедносна подешавања), али размотрићемо другу опцију.

Постоје две смернице групе које се налазе у оквиру Конфигурација рачунара -> Политике -> Сигурносне поставке -> Локалне политике -> Додела права корисника (Корисничке политике -> Политике -> Подешавања сигурности -> Локална правила -> Додјела права корисника):

  • Забрани се локално пријављивање (Забрани локалну пријаву) - омогућава вам да забраните локалну пријаву на рачунаре за одређене кориснике или групе;
  • Дозволи се локално пријавити (Локална пријава) - садржи листу корисника и група којима је дозвољено локално пријављивање на рачунар.

На пример, да спречите кориснике одређене групе да се пријављују на рачунаре у одређеном ОУ, можете да креирате засебну корисничку групу, додате је у локалну политику забране забране и доделите је ОУ-у са рачунарима којима желите да ограничите приступ..

У великим доменима можете користити комбинацију ових смерница. На пример, желите да спречите кориснике да се пријављују на друге ОУ рачунаре.

Да бисте то учинили, морате да створите безбедносну групу у сваком ОУ, где морате да укључите све кориснике ОУ-а.

Савет. Корисници могу бити аутоматски попуњени из ОУ-а помоћу ПоверСхелл цмдлета Гет-АДУсер и Адд-АДГроупМембер са овом скрипту:

Увозни модул АцтивеДирецтори
$ роотОУ = „ОУ = корисници, ОУ = МСК, ДЦ = винитпро, ДЦ = ру“
$ гроуп = "цорп \ мск-корисници"
Гет-АДУсер -СеарцхБасе $ роотОу -Филтер * | ФорЕацх-Објецт Адд-АДГроупМембер -Идентити $ гроуп -Мемберс $ _

Тада морате да омогућите политику Дозволи се локално пријавити, додајте ову групу у њу (+ различите административне групе: Администратори домена, администратори радних станица итд.) и доделите политику ОУ-у помоћу рачунара. Тако ћете корисницима одређене ОУ омогућити да се пријављују на рачунаре.

Када покушате да се пријавите код корисника коме није дозвољено локално пријављивање, појављује се прозор упозорења:

Не можете да се пријавите јер метода пријављивања коју користите није дозвољена на овом рачунару. Више информација потражите код мрежног администратора.

Или

Метода пријаве коју покушавате да користите није дозвољена. За више информација обратите се мрежном администратору.

Неколико важних тачака у вези са овим политикама:

  • Не бисте требали да примените ове смернице за ограничавање приступа серверима, а још више за контролере домена. Како омогућити редовним корисницима РДП приступ ДЦ-у.
  • Не омогућите ове смернице путем стандардних ГПО-ова: подразумевана политика домена или задана политика контролера домена.
  • Политика забране има предност.
  • Не заборавите на рачуне услуга (укључујући гМСА) који се могу користити за покретање услуга на рачунарима.
  • Не треба примењивати смернице које ограничавају локалну пријаву на цео домен. Доделите их одређеним ОУ.