AD用户的工作站登录限制(登录)

时间:2020-01-09 10:46:58  来源:igfitidea点击:

默认情况下,当我们创建新的Active Directory用户时,它们会自动添加到"域用户"组中。反过来,默认情况下,将域用户组加入AD域后,会将其添加到域工作站上的本地用户组。这意味着任何域用户都可以登录到域网络中的任何计算机。在本文中,请仔细考虑如何将用户登录限制为域计算机的主要方法。

限制用户帐户仅登录到特定的AD计算机

在小型域中,可以在Active Directory中每个用户帐户的属性中将用户登录限制为域计算机。例如,我们只允许特定用户登录到他的计算机。去做吧:

  • 通过运行dsa.msc命令来运行ADUC管理单元(Active Directory用户和计算机)。
  • 使用AD搜索,找到要限制访问的用户帐户并打开其属性;
  • 转到"帐户"标签,然后单击"登录到"按钮。
  • 如我们所见,允许用户登录到所有域计算机(该用户可以登录到:所有计算机)。要只允许用户访问特定的计算机,请选择"以下计算机"选项,并添加用户可以登录的计算机的名称。我们必须指定完整的NetBIOS或者DNS计算机名称(不要使用通配符)。该值不区分大小写。
  • 我们最多可以在此列表中添加64台计算机。如果我们尝试添加第65台计算机,则会出现以下错误消息:
This property is limited to 64 values. You must remove some of the existing values before you can add new ones

;

  • 保存更改。现在,用户只能登录到指定的AD计算机。

如何在PowerShell中修改LogonWorkstations属性?

手动将用户登录限制为域计算机是非常麻烦的。我们可以使用PowerShell自动执行此操作。允许用户登录的计算机列表存储在AD用户属性" LogonWorkstations"中。例如,我们的任务是允许特定用户仅登录到名称在文本文件computers.csv中列出的计算机。

该脚本如下所示:

Import-Module ActiveDirectory $ADusername = ‘asmith’ $complist = Import-Csv -Path "C:\PS\computers.csv" | ForEach-Object {$\_.NetBIOSName} $comparray = $complist -join "," Set-ADUser -Identity $ADusername -LogonWorkstations $comparray Clear-Variable comparray  

使用Get-ADUser cmdlet,可以显示允许用户登录的计算机的列表。

Get-ADUser $ADusername -Properties LogonWorkstations | Format-List Name, LogonWorkstations

或者,我们可以在ADUC控制台中查看计算机列表。

要将新的计算机名称添加到列表,请使用以下命令:

$Wks = (Get-ADUser asmith-Properties LogonWorkstations).LogonWorkstations $Wks += ",man-b2-wks2" Set-ADUser asmith -LogonWorkstations $Wks  

如何限制用户使用GPO登录到AD工作站?

在大域中,由于某些限制和缺乏灵活性,使用LogonWorkstations用户属性限制用户对计算机的访问是不可行的。通常,为了防止用户登录到某些计算机,使用组策略。

我们可以使用"受限制的组"策略(Windows设置->安全设置)来限制本地组"用户"中的用户列表,但请考虑其他选项。

GPO部分的"计算机配置->策略->安全设置->本地策略->用户权限分配"中有两个组策略:

  • "本地拒绝登录"允许将本地登录限制为特定用户或者组的工作站;
  • "允许本地登录"包含允许本地登录计算机的用户列表。

例如,为防止特定组的用户登录到特定Active Directory OU中的计算机,我们可以创建一个单独的用户组,将其添加到"拒绝本地登录"策略中,然后将该策略链接到包含我们所要计算机的OU想要限制登录。

在大型AD域中,可以结合使用这些策略。例如,我们要限制用户登录其他OU中的计算机。为此,请在每个OU中创建一个安全组,并将所有OU用户添加到其中。

提示。在以下脚本的帮助下,可以使用Get-ADUser和Add-ADGroupMember PowerShell cmdlet将特定OU的用户自动添加到安全组:

Import-module ActiveDirectory $rootOU = "OU=Users,OU=UK,DC=corp,DC=theitroad,DC=com" $group = "corp\lon-users" Get-ADUser -SearchBase $rootOu -Filter \* | ForEach-Object {Add-ADGroupMember -Identity $group -Members $\_ }  

然后启用"允许本地登录"策略,将其添加到该组(以及不同的管理员组:域管理员,工作站管理员等),然后将该策略分配给具有计算机的OU。因此,我们将只允许特定的OU用户登录到计算机。

如果来自其他OU(不允许其在本地登录)的用户尝试登录计算机,则会出现一个带有以下消息的窗口:

我们无法登录,因为此计算机上不允许使用我们使用的登录方法。请与网络管理员联系以获取更多信息。

或者:

我们尝试使用的登录方法是不允许的。有关更多信息,请与网络管理员联系。

以下是有关登录限制策略的一些重要说明:

  • 不要使用这些策略来限制对服务器或者AD域控制器的访问;如何允许非管理员RDP访问域控制器。
  • 不要通过内置的GPO启用这些策略:默认域策略或者默认域控制器策略;默认策略。
  • 限制性政策具有更高的优先级;
  • 不要忘记可用于在计算机(服务器)上运行服务的服务帐户(包括gMSA);
  • 不要使用限制本地访问整个域的策略。仅将它们链接到特定的OU。