拒絕訪問域上的文件伺服器和 PC - 來賓使用者
我們有 70 多台 PC 和伺服器,使用者通過從他們的 PC 訪問伺服器來訪問文件。
是否可以從活動目錄或組策略拒絕訪客使用者(他應該只能訪問他的電腦)訪問網路上的所有 PC 和伺服器。
我讀過一些文章,建議拒絕從文件共享訪問 - 轉到每個文件共享並拒絕訪問 - 因為我們有很多電腦和許多文件共享,這將需要很長時間,有沒有更快的方法來做到這一點?
我們正在執行伺服器 2008。
如果有人可以提供任何建議或指導我走上正確的道路,我將不勝感激。
假設您沒有授予Everyone對像對任何資源的訪問權限,您可以在來賓將使用的電腦上創建一個本地帳戶。他們使用該帳戶登錄電腦,甚至沒有登錄域,因此預設情況下他們無權訪問任何域資源。
如果您必須使用域帳戶,請創建一個全新的域帳戶並為該帳戶創建一個新的域安全組(您可以將其稱為“訪客使用者”)。將帳戶添加到組中,設置新的組作為使用者的主要組,然後從域使用者組中刪除使用者。現在使用者應該可以訪問域中的任何內容,再次假設您沒有授予Everyone對象訪問任何內容的權限,因為過去沒有人可以授予全新使用者或組訪問任何內容的權限。
如果您已授予Everyone對任何內容的訪問權限,或者您有理由認為Everyone可能對任何資源具有任何訪問權限,那麼您必須將其執行並更正它。Domain Users是您幾乎總是可以用來代替Everyone的一個對象,因為一般來說,每個域帳戶都是Domain Users的成員(除非該帳戶已被明確刪除,如上所述)。請注意,您不應更改使用者在工作時間使用的資源的權限,因為您的更改可能會拒絕他們訪問,直到他們下次登錄並獲得安全令牌時。理想情況下,您將有一些經驗豐富的顧問在場幫助您進行此類權限更改,因為很可能會意外拒絕使用者訪問重要資源或授予使用者訪問機密資訊。
如果電腦永遠不會被全體員工用於需要域訪問,您可以將電腦專用於來賓訪問,甚至不將它們加入域。最後,對於來賓的最終分離是使相關電腦位於與域電腦不同的網路或 VLAN 上,可能通過具有多個物理或虛擬介面的防火牆共享 Internet,甚至使用單獨的專用介面防火牆和網際網路連接。