Windows 2008R2 登錄限制和 LDAP 身份驗證

我們使用 Palo Alto 防火牆（及其 GlobalProtect 客戶端）對我們的網路進行 VPN 訪問。防火牆使用 LDAP 來驗證 VPN 登錄。我現在正在嘗試為顧問設置使用者 ID，並且我希望他只能訪問 1 個特定伺服器。因此，在他的個人資料中，我將登錄工作站設置為僅允許訪問 1 台伺服器。但是，有了這一套，他就不能 VPN，因為身份驗證失敗。無論如何允許LDAP身份驗證和訪問只有一台機器？

只需授予使用者對“1 伺服器”的必要權限。他們將無法在其他任何地方登錄，因為他們沒有權限。這不是 VPN 解決方案或 LDAP 解決方案，而是在一台伺服器上授予權限的方式。

雖然這確實使他們成為“域使用者”，但他們仍然只能訪問應受到限制的資源。

以遠端桌面為例，預設情況下應拒絕域使用者訪問此資源。CIFS 和網站等其他資源也是如此。如果不是這種情況，那麼這是一個很好的機會來審查如何授予對資源的訪問權限。

根據他們需要的訪問級別，可以使用登錄限制，以便他們只能在特定時間和特定域系統上登錄。

另一種方法是為 VPN 訪問和伺服器訪問創建本地帳戶。

引用自：https://serverfault.com/questions/698658