Ограничить AD вход в систему между дочерними доменами
Допустим, у нас есть 3 домена (и 3 DC), где contoso.local является корневым доменом, dep1.contoso.local является дочерним доменом contoso.local, а dep2.contoso.local является еще одним дочерним доменом contoso.local.
По-видимому, доверительные отношения между этими доменами являются переходными, и компания, занимающаяся аудитом безопасности, недостаточно надежна, и нам необходимо удалить доверительные отношения между dep1.contoso.local и dep2.contoso.local.
Мне известно, что удаление доверительных отношений между дочерними доменами невозможно, но есть ли вероятность того, что клиенты dep1 не смогут войти в систему с клиентов, которые присоединились к дочернему домену dep2, а контроллеры домена каждого домена все еще могут видеть друг друга?
Любой намек очень ценится.
1 ответ
Поскольку вы просите подсказку, следующее должно направить вас в правильном направлении; Вы можете адаптировать их к вашим конкретным потребностям.
Используя групповую политику, вы можете настроить любую комбинацию назначения прав пользователя в Computer Configuration \ Policies \ Windows Settings \ Security Settings \ Local Policies \ User Rights Assignment ->
- Доступ к этому компьютеру из сети
- Разрешить вход локально
- Разрешить вход через службы удаленных рабочих столов
- Запретить вход локально
- Запретить вход через службы удаленных рабочих столов
Чтобы достичь желаемого результата, чтобы вы могли
- Примените объект групповой политики ко всем машинам в DEP1, чтобы применить право пользователя "Запретить локальный вход в систему" для
DEP2\Domain Users(и наоборот), или - Примените объект групповой политики ко всем машинам в DEP1, чтобы применить право "Разрешить локальный вход в систему" только для пользователей.
Administratorsа такжеDEP1\Domain Users(и наоборот) - хотя это нарушит вход в систему локальными учетными записями или - Применить объект групповой политики, который удаляет
Authenticated Usersиз местногоUsersгруппа, - и так далее