Active-Directory

如何解決域控制器通過 LDAP 停止身份驗證的“登錄工作站”限制

  • July 2, 2015

我正在嘗試允許基於外部 linux 的應用程序伺服器的使用者通過 LDAPS 使用他們的 Active Directory 憑據對服務進行身份驗證。它適用於管理員帳戶,但不適用於普通使用者帳戶。

問題是使用者有一個“登錄工作站”設置,限制他們登錄到域控制器 (DC)(或者更確切地說,創建了他們只能登錄到分配的工作站的限制)

最初的 LDAP 查詢以服務帳戶的名義工作,但在執行 HTTP 身份驗證時,LDAP 服務與服務帳戶解除綁定並嘗試以使用者身份綁定。在這一點上它失敗了。

有沒有解決的辦法?以這種方式限制對 DC 的訪問是否普遍?

我建議使用 GPO 拒絕互動式/RDP 登錄到 DC:

“電腦設置/安全設置/本地策略/使用者權限分配/本地拒絕登錄”

我已經在定制/企業軟體和一些 Linux 機器上看到了這樣的問題。在這些情況下,“登錄工作站”應在允許的工作站列表中包含 DC。我想它與這些系統嘗試對使用者進行身份驗證的方式有關。看一個例子:https ://confluence.atlassian.com/display/CONFKB/Unable+to+Log+in+Because+of+userWorkstations+Attribute+in+Active+Directory

最終分析Linux的日誌並按照https://primalcortex.wordpress.com/2007/11/28/active-directory-ldap-errors/搜尋數據程式碼531

請記住,“使用者工作站”屬性有限制: https: //support.microsoft.com/en-us/kb/938458

引用自:https://serverfault.com/questions/703164