阻止某些使用者登入到某些域工作站
我的一位同事最近問我,是否有可能阻止某些人在我們公司的網路上使用某些pc。如果您進行了網域名稱設定,則設定非常簡單,前提是設定非常簡單。
我的意思是「如果您的設定做得好」不是指伺服器軟體的安裝程度或任何類似的內容。我指的是您在活動目錄中對使用者進行分組的程度。我們為組織中的每個級別的使用者建立了組,因此對於我來說,很容易阻止特定的人群使用某些工作站。
在這種情況下,我被要求阻止電氣和儀表人員使用分配給機械工頭的pc,因為電氣和儀表人員可以使用自己的pc。
在需要阻止訪問的pc上,以管理員身份登入後,我只需在執行命令塊中鍵入「 gpedit.msc」即可執行組策略編輯器。
執行gpedit.msc
瀏覽到;…。
>
計算機配置\
> windows
設定\
>
安全設定\
>
本地政策\
>
使用者許可權分配\
在「組策略編輯器」中瀏覽
查詢「本地拒絕登入」
在「使用者許可權分配」中,找到「本地拒絕登入」。
使用「新增使用者或組」按鈕從active directory列表中新增組。
請確保現在顯示正確的組,如下面的紅色所示。
新增電氣和儀器組。
這將阻止任何電氣和儀器使用者登入到其中乙個機械工頭pc。需要記住的非常重要的一點是,您沒有任何我想稱呼的東西,對任何特定使用者來說,這都是「組成員的交叉汙染」。意思是,使用者對組的成員資格是盡可能排他的。您沒有同一使用者成為您的活動目錄中每個組的成員。如果您不是故意這樣做的話,這可能會導致某個人被阻止。因此,保持成員資格簡單明瞭。
如果您在管理員大樓中有乙個用於管理員的管理員組,並且您的乙個使用者的工作性質如此,以至於他需要訪問與plant相關的檔案以及與admin相關的檔案,請在active directory中建立乙個新的group而不是簡單地使該使用者成為plant group和admin group的一部分。
以後,如果您阻止plant group訪問某些硬碟驅動器,則即使該使用者實際上需要訪問許可權,也可能會將該使用者阻止。他是admin group的成員這一事實沒有任何意義,因為他也是plant group的一部分,因此可能被遮蔽。
同樣,請小心新增要拒絕訪問資源的「使用者」或「所有人」組。管理員是「使用者」和「所有人」組的一部分。建立自己的明智的組織結構,並相應地放置使用者。
單點登入 域使用者 常規登入 AD域
我是把csdn部落格當筆記使的,以前總結過不知道放在 了,好鬱悶。1 單點登入 1 啥是單點登入?使用者只需要登入一次就可以訪問所有相互信任的應用系統。single sign on,簡稱為 sso 2 解決啥問題?各個server拿到同乙個id,都能有辦法檢驗出id的有效性 並且能得到id對應的使用...
AD域匯入匯出使用者
作為域管理員,有時我們需要批量地向ad域中新增使用者帳戶,這些使用者帳戶既有一些相同的屬性,又有一些不同屬性。如果在圖形介面逐個新增 設定,那麼需要的時間和人力會超出能夠承受範圍。一般來說,如果不超過10個,我們可利用ad使用者帳戶複製來實現。如果再多的話,就應該考慮使用使用命令列工具,實現批量匯入...
SSH限制某些使用者 ip登入
1,只允許某個ip登入,拒絕其他所有ip 在 etc hosts.allow 寫 sshd 1.2.3.4 在 etc hosts.deny 寫 sshd all 用 iptables 也行 iptables i input p tcp dport 22 j drop iptables i inpu...