Blockieren Sie den Zugriff auf ALLE Server in unserem Netzwerk (Shares, RDP, Web usw.).

319
user2471951

Ich erstelle ein AD-Konto für einen bestimmten Benutzer. Wir möchten nur, dass dieser Benutzer auf zwei Anwendungen (OWA und eine andere webbasierte Anwendung) in unserem Netzwerk zugreifen kann und nicht auf ALLE anderen Maschinen (RDP, Shares usw.) in einem beliebigen Weg.

Ich habe viel zu viele Server, um durch alle zu gehen und diesen Benutzer oder diese Gruppe zu blockieren. Daher brauche ich einen GP für diesen Benutzer / diese Gruppe, um ALLEN Freigabezugriff zu blockieren, und anderen Zugriff auf andere Server, z. B. andere Web-Apps.

Ich gehe davon aus, dass ich den Zugriff auf DC zur Authentifizierung lassen muss, aber das ist es.

Zusammenfassend kann der Benutzer NUR auf Folgendes zugreifen:

https: // owa https: // someapp

0

1 Antwort auf die Frage

0
LostWander

Ich denke, Ihre schnellste Option wird darin bestehen, ein Gruppenrichtlinienobjekt für diesen Benutzer auszuführen, das Blockeinträge in der Firewall für alle Dienste / Hosts hinzufügt, auf die sie nicht zugreifen sollen.

Es wird wahrscheinlich für Sie einfacher werden, wenn Sie später etwas Zeit haben, um eine privilegierte Benutzergruppe einzurichten, die Sie standardmäßig zu Berechtigungen für Shares / etc hinzufügen. und eine niedrigere Gruppe, die für die meisten AD-Dienste unter die implizite Ablehnung fällt.

Die Liste ist dafür zu umfangreich ... Kann ich eine Wildcard-Ablehnung hinzufügen und dann die beiden Sites zulassen? user2471951 vor 6 Jahren 0
Sie können ein allgemeines "Alle ablehnen" und dann bestimmte Erlaubnisregeln hinzufügen. Ich bin mir ehrlich gesagt nicht sicher, wie die Windows-Firewall Regelüberlappungen handhabt, aber ich hoffe, dass dies den meisten Berechtigungen gleicht, bei denen bestimmte Überschreibungen generell gelten. Edit: Das wäre wahrscheinlich chaotisch und erfordert einige Tests, um sicherzustellen, dass alles funktioniert. Wer ist diese Person, die mehr als die 10-15 gebräuchlichsten Dienste benötigt? LostWander vor 6 Jahren 0
einem Berater dürfen nur diese 2 Apps erlaubt sein, sonst nichts im Netzwerk, sondern sitzen im regulären Netzwerk. user2471951 vor 6 Jahren 0

Verwandte Probleme