开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

如何使用从AADDS VM强制实施的组策略限制远程AAD (工作/学校)连接的个人计算机？

要使用从AADDS（Azure Active Directory Domain Services）虚拟机强制实施的组策略来限制远程AAD（工作/学校）连接的个人计算机，你需要执行以下步骤：

基础概念

AADDS：Azure Active Directory Domain Services 提供了一个完全托管的域服务，它与Windows Server Active Directory类似，但无需管理域控制器。
组策略：组策略是一种Windows管理功能，允许管理员控制用户和计算机的设置。
远程AAD连接：指的是通过Azure AD连接到企业网络的远程工作或学校计算机。

相关优势

安全性：通过限制哪些设备可以连接到网络，可以提高安全性。
合规性：确保所有连接到网络的设备都符合企业的安全标准。
管理简便：使用组策略可以集中管理大量设备的设置。

类型与应用场景

类型：通常使用安全组和组策略对象（GPO）来实施这些限制。
应用场景：适用于需要严格控制设备访问的企业环境，如金融、医疗等行业。

实施步骤

创建安全组：在AADDS中创建一个安全组，用于包含允许远程连接的个人计算机。
配置组策略：创建一个新的组策略对象（GPO），并将其链接到AADDS中的相应组织单位（OU）。
设置策略规则：在GPO中设置规则，以限制只有特定安全组中的计算机才能连接到网络。
强制实施策略：确保GPO已经启用并强制实施。

示例代码

以下是一个简单的PowerShell脚本示例，用于创建安全组和配置组策略：

# 登录到Azure AD PowerShell
Connect-AzureAD

# 创建一个新的安全组
$groupName = "AllowedRemoteComputers"
New-AzureADGroup -DisplayName $groupName -MailEnabled $false -SecurityEnabled $true -MailNickName $groupName

# 将计算机添加到安全组（假设你有计算机的对象ID）
$computerObjectId = "计算机对象ID"
Add-AzureADGroupMember -ObjectId (Get-AzureADGroup -SearchString $groupName).Id -RefObjectId $computerObjectId

# 创建组策略对象（GPO）并链接到AADDS OU
# 注意：这通常需要在AADDS的域控制器上执行
# 示例代码省略了具体的GPO配置步骤，因为这需要在域环境中手动设置

可能遇到的问题及解决方法

策略未生效：检查GPO是否正确链接到OU，并确保策略没有被其他更高优先级的GPO覆盖。
计算机未加入组：确认计算机的对象ID正确，并且计算机已经成功加入到Azure AD中。
连接问题：如果计算机无法连接到网络，检查网络设置和防火墙规则，确保允许必要的端口和协议。

注意事项

在实施这些策略之前，应该彻底测试以确保它们不会影响合法用户的正常工作。
定期审查和更新安全组和安全策略，以适应新的安全威胁和企业需求。

通过以上步骤，你可以有效地使用AADDS VM强制实施的组策略来限制远程AAD连接的个人计算机。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Windows Server 2008 R2修改远程桌面连接数

===================================================================== 在工作中，经常需要远程连接到服务器上，然而在公司里，其他同事也需要连接到服务器上的...此外，您可以将“限制终端服务用户使用单个远程会话”组策略设置为“启用”。注意：版本不一样解决的方法有异！...如何避免？...一、用注销来退出远程桌面而不是直接关闭窗口二、限制已断开链接的会话存在时间 1、从终端服务配置中修改运行－Tscc.msc(终端服务配置)－连接－双击RDP-Tcp或右击－属性－会话－选中第一个的替代用户设置...此外，您可以将“限制终端服务用户使用单个远程会话”组策略设置为“启用”。

6.9K13 0

远程多用户多会话配置

找微软购买license或卸载远程桌面服务就用默认的会话（组策略禁用限制到单会话后，最多支持2个会话，具体操作是：以管理员身份运行gpedit.msc 计算机配置-》管理模板-》windows 组件-》...远程桌面服务-》远程桌面会话主机-》连接，将配置项“将远程桌面服务用户限制到单独的远程桌面服务会话” 为“已禁用” ，然后执行gpupdate /force或重启机器生效）关于licence，推荐微软官方...“gpedit.msc”，打开计算机本地组策略 4、在计算机本地组策略里选择“计算机配置 > 管理模板 > windows组件 > 远程桌面服务 > 远程桌面会话主机 > 授权”，找到 “使用指定的远程桌面许可服务器...”和“设置远程桌面授权模式” 5、设置“使用指定的远程桌面许可证服务器”为启用，并在“要使用的许可证服务器”中，设置当前服务器的私有IP或者主机名 6、启用“设置远程桌面授权模式”，设置授权模式为“按用户...” 注意：如果出现提示“远程桌面许可证问题”，请将授权模式为“按设备” 7、运行cmd ，输入”gpupdate /force”，强制执行本地组策略，重启服务器，整个配置过程完成

4.8K2 0

记一次匈牙利服务器提权案例

，无法进行3389远程连接。...是管理员用户； (2) net localgroup：查看系统所有用户组，这个命令执行无效，返回信息显示空白，进入系统后发现是因为“工作站服务尚未启动”导致无法执行这个命令的； \\ felhaszn爈...成功破解Rendszergazda管理员用户的NTLM-HASH，但是明文密码居然为“空”，先用mstsc.exe远程登录看一下是否能够登录进去吧。...最终连接提示信息：Nem lephet be a fiok korlatozasi miatt，翻译过来就是：由于账户限制，您无法登陆。 ?...(3) netstat -ano命令查询没有3389端口，只有3390端口，但是都能正常远程连接？ (4) ipconfig /all命令执行返回如下：为什么IP是10.0.0.

5071 0

Windows server 2012远程桌面会话主机和远程桌面授权

2012 中的“远程桌面服务”服务器角色提供了允许用户连接到虚拟机、RemoteApp程序和基于会话的计算机的技术。通过远程桌面服务，用户可以从企业网络或 Internet 访问远程连接。...4.3 在计算机本地组策略里选择计算机配置-管理模板-windows组件-远程桌面服务-远程桌面会话主机-授权，找到 “使用指定的远程桌面许可服务器”和“设置远程桌面授权模式”。...4.6 在远程桌面会话主机下，找到 “连接”，按如下图所示设置“限制限制连接数量（可根据具体数量设置）”和“将远程桌面服务用户限制到单独的远程桌面”： 4.7 在运行里输入”gpupdate /force...”,强制执行本地组策略，重启服务器，整个配置过程完成。...此时可以使用“mstsc /admin /v:目标ip”来强制登录服务器，但只能是管理员身份。

5.5K2 0

Windows 操作系统安全配置实践(安全基线)

：2天 * 密码最长使用期限：90天 * 强制密码历史：1个记住密码 * 用可还原的加密来存储密码：已禁用 # 2.账户设置->账户锁定策略 ->> 应启用登录失败处理功能，可采取结束会话、限制登录间隔...[+]确保拒绝以服务身份登录包含Guests SeDenyServiceLogonRight [+]确保拒绝本地登录包含Guests SeDenyInteractiveLogonRight [+]确保从远程系统强制关机值为...[+]确保同步目录服务数据值为空 SeSyncAgentPrivilege 1.2.2 账户访问限制操作目的 a) 限制系统账号从网络访问，通过匿名访问系统资源包括注册表信息等检查方法...内容全部删除网络访问:可远程访问的注册表路径: 内容全部删除网络访问:可远程访问的注册表路径和子路径: 内容全部删除 WeiyiGeek.账户访问限制回退方案网络访问:不允许 SAM....远程连接挂起策略回退方案: 配置“网络安全:在超过登录时间后强制注销”设置为“已禁用”录时间后强制注销备注说明: gpupdate /force立即生效 1.4.3 关闭自动播放功能操作目的:

4.6K2 0

组策略限制3389登录的绕过方式

2003组策略拒绝远程登录错误 ? 2008组策略拒绝远程登录错误 ?...2012组策略拒绝远程登录错误原因：因为目标机器设置了组策略用户权限分配中的“拒绝通过远程桌面服务登录”或“拒绝本地登录”选项，所以在进行远程终端连接时就会出现上图报错提示。 ?...组策略“拒绝通过远程桌面服务登录” 解决方案： (1) 将目标机器sethc.exe、Utilman.exe等程序替换为cmd.exe或taskmgr.exe，然后在gpedit.msc组策略中修改用户权限分配的...Windows组策略（用户权限分配）常量名：组策略设置常量名作为受信任的调用方访问凭据管理器 SeTrustedCredManAccessPrivilege 从网络访问此计算机 SeNetworkLogonRight...作为操作系统的一部分运行 SeTcbPrivilege 将工作站添加到域 SeMachineAccountPrivilege 调整进程的内存配额 SeIncreaseQuotaPrivilege 允许本地登录

2.8K1 0

windows server 2016 设置多用户远程桌面

通过远程桌面服务，用户可以从企业网络或 Internet 访问远程连接。...在计算机本地组策略里选择计算机配置-管理模板-windows组件-远程桌面服务-远程桌面会话主机-授权，找到 “使用指定的远程桌面许可服务器”和“设置远程桌面授权模式”。...4.3 设置“使用指定的远程桌面许可证服务器”为启用，并在“要使用的许可证服务器”中，设置当前服务器的IP或者主机名。...4.5 在远程桌面会话主机下，找到 “连接”，按如下图所示设置“限制限制连接数量（可根据具体数量设置）”和“将远程桌面服务用户限制到单独的远程桌面”： 4.6 在运行里输入”gpupdate.../force”,强制执行本地组策略，重启服务器，整个配置过程完成。

13.4K2 0

Active Directory中获取域管理员权限的攻击方法

此外，攻击者通常也不难从拥有工作站的用户权限升级到拥有本地管理员权限。这种升级可以通过利用系统上未修补的权限升级漏洞或更频繁地在 SYSVOL 中查找本地管理员密码（例如组策略首选项）来发生。...这通常会很快导致域管理员凭据，因为大多数 Active Directory 管理员使用用户帐户登录到他们的工作站，然后使用 RunAs（将他们的管理员凭据放在本地工作站上）或 RDP 连接到服务器（可以使用键盘记录器...这是理想的，也是微软正在将 RDP 转向管理员模式的原因。有一种方法可以通过 PowerShell 远程处理连接到远程系统，并且能够通过 CredSSP 使用凭证。问题是 CredSSP 不安全。...管理员使用 PowerShell 远程连接到服务器 A，然后尝试从服务器 A 连接到服务器 B。不幸的是，第二次连接失败。...使用 VCenter 管理员权限：克隆 DC 并将数据复制到本地硬盘驱动器。还可以在 VM 挂起时从 VM 内存中提取 LSASS 数据。不要低估您的虚拟管理员对虚拟域控制器的影响。

5.2K1 0

Microsoft 本地管理员密码解决方案 (LAPS)

使用“拒绝从网络访问此计算机”和“拒绝通过远程桌面服务登录”设置在组策略中配置此 SID 可防止本地帐户通过网络连接（对于工作站，请在部署到服务器之前仔细测试）。...LAPS 简化了密码管理，同时帮助客户实施针对网络攻击的推荐防御措施。特别是，该解决方案降低了当客户在其计算机上使用相同的管理本地帐户和密码组合时导致的横向升级风险。...LAPS 使用安装在托管计算机上的组策略客户端扩展 (CSE) 来执行所有管理任务。该解决方案的管理工具提供了简单的配置和管理。 LAPS 是如何工作的？...• 在传输过程中通过使用 Kerberos 版本 5 协议的加密来强制密码保护。 • 使用访问控制列表 (ACL) 保护 Active Directory 中的密码并轻松实施详细的安全模型。...确保网络上每台计算机上的本地管理员帐户密码都不同，可以减轻攻击者使用本地凭据将管理控制扩展到单个系统之外的能力。它是如何配置的？

4K1 0

win2003 服务器超出最大连接+强制重启服务器

法三(最佳方法-推荐)：限制已断开链接的会话存在时间　　一般情况下，我们在维护远程服务器时，不可能长时间在线，但是系统默认的却是只要登录就不再断开。...可以在Windows 2003 服务器上通过组策略中设置一下来解决问题：单击”开始→运行”，输入”gpedit.msc”，回车后打开组策略窗口，然后依次定位到”计算机配置→管理模板→Windows 组件...→终端服务→会话”，然后在右侧窗口中双击”为断开的会话设置时间限制”，在打开的窗口中将”结束断开连接的会话”时间设置为5分钟，或者设置为空闲就断开。　　...或　　在远程服务器上打开“运行”窗口，输入“tscc.msc”连接设置窗口。...中有一个叫做shutdown.exe的文件，他主要负责重新启动计算机，注销计算机，关闭计算机的工作，通过他可以完成上述操作。

1.9K2 0

您的凭据不工作之前用于连接到******的凭据无法工作。请输入新凭据。

https://blog.csdn.net/huyuyang6688/article/details/49077665 　　在公司局域网远程自己计算机的时候，突然无法远程了，提示“您的凭据不工作...之前用于连接到**的凭据无法工作。...之前自己的计算机是可以远程的，但是今天远程的时候突然就给了我这样的惊喜。　　从网上查到两种解决方法，小编用下面第一种方法搞定了，如果您用第一种方法搞不定，那请您尝试第二种方法。...选择“已启用”→点击“显示按钮”→输入值为：TERMSRV/* 　　保存设置后，运行 gpupdate /force 对组策略进行强制刷新，即可测试是否可以解决问题。...win7、win8、win10等版本）【转载请注明出处——胡玉洋《您的凭据不工作之前用于连接到**的凭据无法工作。

57.3K4 0

使用 CVE-2021-43893 在域控制器上删除文件

易受攻击的产品可以合理地部署在具有无约束委派的系统上，这意味着我可以使用 CVE-2021-43893 作为低权限远程用户远程植入文件，将我的 LPE 变成 RCE。...虽然这个漏洞的文件上传方面已经修复，但我发现这个漏洞很有趣。该漏洞肯定受到低权限用户可以在域控制器上创建文件的限制的限制，也许这就是该漏洞没有受到更多关注的原因。...作为该问题补救措施的一部分，Microsoft对 EFSRPC 通信实施了一些强化措施。特别是，EFSRPC 客户端在使用 EFSRPC 时需要使用。...从进攻的角度来看，这并没有太大的作用，但可以作为一种简单、省力的擦除或数据破坏攻击。这是一个从管理员帐户远程覆盖 calc.exe 的愚蠢示例。...最后的想法和补救措施最初是对使用未修补的远程文件写入漏洞的调查，最终成为 EFSRPC 补丁的历史教训。我最初想使用的远程文件写入漏洞已被修补，但我们证明强制身份验证问题尚未得到充分修复。

1.5K3 0

我所了解的内网渗透 - 内网渗透知识大总结

在没工作之前我常年搞各种高校的网络，边界口漏洞多容易进入而内网机器环境多不严格真是内网渗透的好地方，最后被誉为”学校杀手”，之前搞学校方法简单而粗爆很多内网常识都不懂就是各种扫，反正学校管理员的密码都是一样的就算不是域控密码基本都是一样...使用目标服务帐户的NTLM密码散列对TGS进行加密并发送给用户（TGS-REP）。用户在适当的端口上连接到托管服务的服务器并呈现TGS（AP-REQ）。该服务使用其NTLM密码散列打开TGS票证。...攻击者如何使用Kerberos的银票来利用系统 https://adsecurity.org/?...大多数Active Directory管理员使用用户帐户登录到其工作站，然后使用RunAs（将其管理凭据放置在本地工作站上）或RDP连接到服务器运行Mimikatz读取密码，收集密码尝试登录管理员机器一般只要域管理员登录过的机器抓取都可以获取域控了...获取系统SAM文件等使用VSS卷影副本（通过WMI或PowerShell的远程处理）远程提取NTDS.DIT 窗口有一个名为WMI的内置管理组件，支持远程执行（需要管理员权限）.WMIC是在远程计算机上执行命令的

4.3K5 0

Windows 10版本business_editions和consumer_editions的区别？「建议收藏」

Windows 10 各版本区别：家庭版(Home)：供家庭用户使用，无法加入Active Directory和Azure AD，不允许远程链接专业版(Professional)：供小型企业使用...(Education)：供学校使用 (学校职员, 管理人员, 老师和学生) 其功能基本和企业版的一样 LTSB版：无Edge浏览器、小娜，无磁贴，可选是否下载和安装补丁，其它版都不能自选补丁 N版：带“...企业特性 ①基础功能：设备加密，加入域功能，组策略管理器，Bitlocker加密，企业模式Internet Explorer浏览器（EMIE），Assigned Access 8.1（访问分配），远程桌面...，Direct Access（直接访问），Windows To Go创建工具，Applocker（应用程序锁定），BranchCache（分支缓存），可通过组策略控制的开始屏幕， ②管理部署功能：企业应用旁加载功能...Applocker（应用程序锁定），BranchCache（分支缓存），可通过组策略控制的开始屏幕， ②管理部署功能：可加入到Azure活动目录，单点登录到云托管应用，Win10企业商店，粒度UX控制

33.5K2 0

内网渗透｜域内的组策略和ACL

0x00 本地域环境 vm单独添加一个网卡用来进行域环境隔离。 ?...windows server 2008(IT) :192.168.11.8 (itsec) windows 7(jack-PC) :192.168.11.7 (jack) 添加redteam\jack到win7的远程桌面组...用户容器：在域中创建的新用户帐户和组的默认位置。 ? 0x04 组策略组策略可以控制用户帐户和计算机帐户的工作环境。 ?...策略是受管理的、强制实施的。而组策略首选项则是不受管理的、非强制性的。每条组策略都是储存在域里面的一个对象我们称之为GPO，每一个GPO都有一个唯一ID。 ?...使用dcsync权限维持：取消Everyone的完全控制权限，创建hack1用户 ?

2.2K4 0

如何通过组策略将指定用户加入本地计算机管理员组

企业里面如果使用AD进行人员和计算机的管理，企业中一般会设定一个Helpdesk的职位，是公司的IT人员，负责公司员工计算机的日常问题，在很多情况下需要Helpdesk对计算机具有本地管理员权限才能对计算机的软件...我们为保证服务器的安全禁止Helpdesk用户远程连接服务器，禁止其对服务器计算机的管理员身份，所以禁止将Helpdesk用户组加入到服务器的Administrators组中。...那么这个该怎么实现这个限制呢？...比较简单有效的方法是对整个域用户设置一个组策略，该组策略实现将Helpdesk用户组添加到本地计算机中，同时对该组策略的安全作出限制，对所有服务器计算机deny其“应用组策略”。...（6）“确定”，完成组策略的设置。这个时候在员工计算机上运行gpupdate /force可以强制马上刷新组策略，看到Helpdesk已经添加到Administrators组中。

1.1K1 0

Windows系统安全|Windows Server系统加固

，管理员用户，数据库用户，审计用户，来宾用户等删除或锁定与设备运行、维护等工作无关的账户操作：开始-->管理工具-->本地安全策略-->安全选项，最底下重命名系统管理员账户开始-->管理工具--...小写字母、字符和数字四个里面选3个设置密码最长留存期，比如说3个月账户锁定策略，比如说输错密码多少次锁定账户操作：开始-->管理工具-->本地安全策略-->账户策略授权说明：在本地安全设置中从远端系统强制关机只指派给...Administrators组在本地安全设置中取得文件或其他对象的所有权只指派给 Administrators组在本地安全设置中配置只有指定授权用户允许本地登录此计算机在组策略中只允许授权账号从网络访问...，登录是否成功，登录时间，以及远程登录时所使用的ip地址启用组策略中对windows系统的审核策略更改，成功和失败都要审核启用组策略中对windows系统的审核对象访问，成功和失败都要审核启用组策略中对...连接请求数阀值为5 指定处于SYN_RCVD状态的TCP连接数的阀值为500 指定处于至少已发送一次重传的SYN_RCVD状态中的TCP连接数的阀值为400 操作：开始-->运行-->regedit

2.2K1 0

Windows Server 2008远程控制安全设置技巧

有鉴于此，我们可以对Windows Server 2008服务器系统进行合适设置，只允许指定人员通过远程桌面连接方式对其进行远程控制，下面就是具体的设置步骤：　　首先打开Windows Server...“安全设置”节点选项，在目标节点分支下面选中“本地策略”/“安全选项”，在对应“安全选项”分支下面找到目标安全组策略“帐户：重命名系统管理员帐户”，并用鼠标右键单击该组策略选项，从其后出现的快捷菜单中执行...3、修改telnet端口保护远程连接安全　　telnet命令是Windows Server 2008服务器系统中缺省的远程登录程序，因为该程序是直接集成在服务器系统中并且使用起来比较方便，所以网络管理员在管理服务器时经常使用到该程序...考虑到telnet命令对Windows Server 2008服务器系统进行远程控制时，一般会自动使用“23”这个默认的网络端口，并且该端口几乎被所有人都熟悉，为了保护telnet远程连接的安全性，我们只要按照下面的方法修改该程序默认的网络端口号码...Windows Server 2008服务器系统的远程登录密码设置得不够复杂时，系统就会自动弹出相关提示; 　　接下来，我们再对“强制密码历史”、“密码长度最小值”、“用可还原的加密来储存密码”、“密码最长使用期限

1.1K3 0

Windows 10版本business_editions和consumer_editions的区别？

3】 Windows 10 各版本区别：家庭版(Home)：供家庭用户使用，无法加入Active Directory和Azure AD，不允许远程链接专业版(Professional)：供小型企业使用...教育版(Education)：供学校使用 (学校职员, 管理人员, 老师和学生) 其功能基本和企业版的一样 LTSB版：无Edge浏览器、小娜，无磁贴，可选是否下载和安装补丁，其它版都不能自选补丁...企业特性 ①基础功能：设备加密，加入域功能，组策略管理器，Bitlocker加密，企业模式Internet Explorer浏览器（EMIE），Assigned Access 8.1（访问分配），远程桌面...，Direct Access（直接访问），Windows To Go创建工具，Applocker（应用程序锁定），BranchCache（分支缓存），可通过组策略控制的开始屏幕， ②管理部署功能：企业应用旁加载功能...（应用程序锁定），BranchCache（分支缓存），可通过组策略控制的开始屏幕， ②管理部署功能：可加入到Azure活动目录，单点登录到云托管应用，Win10企业商店，粒度UX控制，可轻松从专业版升级到企业版

2.9K1 0

收获 NetNTLM

Farmer 可以通过 C2 通道执行，并且只需要传入的 WebDav 连接来恢复哈希：现在我们已经概述了如何收集哈希的原理，让我们探索一些诱导用户连接到 Farmer 服务器的途径。...搜索连接器文件用于将用户与存储在远程位置的数据连接起来，类似于前面提到的 library-ms 文件。...搜索连接器文件格式还允许使用一个图标来自定义连接器的显示方式，这可以通过使用iconReferenceXML 标记托管在远程 URI 上，例如我们的 Farmer WebDAV 服务器：如何工作的：这当然可以扩展到其他办公文档和文件类型，以扩大操作员可用的选项。缓解措施当资源管理器尝试加载图标文件时，我们记录的大多数文件类型都会强制进行身份验证。...启用这些设置将阻止 Explorer 加载图标文件，从而限制对该技术的曝光。但是，它当然不能防止使用链接字段污染 Office 文档。

1.2K3 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭