Windows

Windows 2008R2 登錄限制和 LDAP 身份驗證

  • October 27, 2015

我們使用 Palo Alto 防火牆(及其 GlobalProtect 客戶端)對我們的網路進行 VPN 訪問。防火牆使用 LDAP 來驗證 VPN 登錄。我現在正在嘗試為顧問設置使用者 ID,並且我希望他只能訪問 1 個特定伺服器。因此,在他的個人資料中,我將登錄工作站設置為僅允許訪問 1 台伺服器。但是,有了這一套,他就不能 VPN,因為身份驗證失敗。無論如何允許LDAP身份驗證和訪問只有一台機器?

只需授予使用者對“1 伺服器”的必要權限。他們將無法在其他任何地方登錄,因為他們沒有權限。這不是 VPN 解決方案或 LDAP 解決方案,而是在一台伺服器上授予權限的方式。

雖然這確實使他們成為“域使用者”,但他們仍然只能訪問應受到限制的資源。

以遠端桌面為例,預設情況下應拒絕域使用者訪問此資源。CIFS 和網站等其他資源也是如此。如果不是這種情況,那麼這是一個很好的機會來審查如何授予對資源的訪問權限。

根據他們需要的訪問級別,可以使用登錄限制,以便他們只能在特定時間和特定域系統上登錄。

另一種方法是為 VPN 訪問和伺服器訪問創建本地帳戶。

引用自:https://serverfault.com/questions/698658