限制子域之间的AD登录
限制子域之间的AD登录
提问于 2019-03-01 10:39:08
假设我们有3个域(和3个DC域),其中contoso.local是根域,dep1.contoso.local是contoso.local的子域,dep2.contoso.local是contoso.local的另一个子域
显然,这些领域之间的信任关系是传递性的,与之相适应或安全审计公司之间的信任关系不够安全,需要消除dep1.contoso.local与dep2.contoso.local之间的信任关系。
我知道消除子域之间的信任是不可能的,但是是否可能出现这样一种情况:来自dep1的客户端不能从加入dep2子域的客户端登录,而每个域的DC仍然可以看到对方?
任何暗示都是非常感谢的。
回答 1
Server Fault用户
回答已采纳
发布于 2019-03-01 15:19:05
当您需要提示时,下面的内容应该会使您走上正确的方向;您可以根据您的具体需求定制这些建议。
使用组策略,可以在Computer Configuration \ Policies \ Windows Settings \ Security Settings \ Local Policies \ User Rights Assignment ->下配置任何用户权限分配组合
- 从网络访问此计算机
- 允许本地登录
- 允许通过远程桌面服务登录
- 拒绝本地登录
- 拒绝通过远程桌面服务登录
为了达到预期的结果,您可以
- 将GPO应用于DEP1中的所有机器,将“拒绝本地登录”用户权限应用于
DEP2\Domain Users(反之亦然),或 - 将GPO应用于DEP1中的所有机器,将“允许本地登录”用户权限仅应用于
Administrators和DEP1\Domain Users(反之亦然) --尽管这将通过本地帐户中断登录,或 - 应用GPO将
Authenticated Users从本地Users组中移除, - 等等
页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://serverfault.com/questions/956297
复制相关文章
相似问题
腾讯云开发者
