Ограничение входа на рабочую станцию в домене
Здравствуйте!
Контроллер домена на вин 2003, AD, DNS, GPO. Рабочая станция на ХР - нужно разрешать на нее вход только 2-3 доменным пользователям. Причем эти пользователи могут работать и с другими машинами в сети.
Подскажите, можно ли средствами виндовс это сделать.
Спасибо
|
| Ivan Bardeen |
21-12-2009 19:31 1300985 |
удалить из локальной на машине группе "пользователи" всех кто там есть. И добавить нужных людей.
|
Реализуйте это через групповые политики:
-Локальный компьютер -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Назначение прав пользователя -> Локальный вход в систему
|
monkkey,
Друзья, я не понял как это нужно сделать.
Делал так: на рабочей станции захожу под доменной учеткой. Далее Мой компьютер-Управление-Локальные пользователи и группы-Группы. В группе Пользователи убираю Фирма\Пользователи домена и ставлю доменных пользователей которые должны иметь доступ к машине.
Пробую, захожу под учеткой, которой нельзя заходить на эту машину - заходит.
Цитата:
Цитата monkkey
Свойства учетной записи - Account - Log on to.. »
|
Если так сделать для доменного пользователя и указать конкретную машину, то этот пользователь может работать только с этой машиной + проблемы с авторизацией KerioMailServer.
Спасибо
|
| Ivan Bardeen |
22-12-2009 20:35 1301903 |
Цитата:
Цитата YDen
Друзья, я не понял как это нужно сделать.
Делал так: на рабочей станции захожу под доменной учеткой. Далее Мой компьютер-Управление-Локальные пользователи и группы-Группы. В группе Пользователи убираю Фирма\Пользователи домена и ставлю доменных пользователей которые должны иметь доступ к машине.
Пробую, захожу под учеткой, которой нельзя заходить на эту машину - заходит. »
|
Я же сказал - убрать всех( втом числе и интерактивных и прошедших проверку), кроме нужных людей. |
Цитата:
Цитата Ivan Bardeen
Я же сказал - убрать всех( втом числе и интерактивных и прошедших проверку), кроме нужных людей. »
|
А что это даст? Вход в домен контролируется AD, а не учетными записями локального компьютера.
Наличие учетных записей на локальном компьютере в домене необходимо только лишь для локального входа или для назначения прав (админитраторы, опытные и т.п., если конечно не настроена политика "Группы с ограниченным доступом"). |
| Ivan Bardeen |
22-12-2009 22:05 1301994 |
Цитата:
Цитата Dimas_83
А что это даст? Вход в домен контролируется AD, а не учетными записями локального компьютера »
|
Абсолютно согласен
Вы, пожалуйста, приглядитесь, кому таки разрешен локальный(интерактивный) вход в систему в политиках, что вы советовали. |
Dimas_83,
Вот по этой причине я в непонятках. Сомневась проверил совет - не идет.
|
Цитата:
Цитата Ivan Bardeen
Вы, пожалуйста, приглядитесь, кому таки разрешен локальный(интерактивный) вход в систему в политиках, что вы советовали. »
|
По умолчанию в Windows XP все группы (от Админов до гостей) разрешены на интерактивный вход.
Цитата:
Цитата YDen
Вот по этой причине я в непонятках. Сомневась проверил совет - не идет. »
|
Оставьте в политиках только адинистраторов. И попробуйте зайти пользователем? Каков результат? |
| Ivan Bardeen |
23-12-2009 08:50 1302241 |
Цитата:
Цитата Dimas_83
По умолчанию в Windows XP все группы (от Админов до гостей) разрешены на интерактивный вход. »
|
Ну так группы то - локальные. И если убрать из юзеров всех кроме нужных людей - то только эти люди будут членами локальной группы пользователей. Соответственно - только эти люди будут иметь право на локальный вход. Вообщем "те же яйца только в профиль" - мы с вами одно и то же советуем - только мой способ, имхо, нагляднее |
Ребята, мне кажется вы говорите о ЛОКАЛЬНЫХ пользователях. Вот с ними у меня проблем нет. Есть один администратор, локальный, он запаролен.
Я спрашивал о ДОМЕННЫХ пользователях. И не о привязке пользователя к одной конкретной машине, а разрешение только определенным ДОМЕННЫМ пользователям вход на машину, остальным ДОМЕННЫМ отказ.
|
| Ivan Bardeen |
23-12-2009 09:20 1302249 |
Цитата:
Цитата YDen
И не о привязке пользователя к одной конкретной машине, а разрешение только определенным ДОМЕННЫМ пользователям вход на машину, остальным ДОМЕННЫМ отказ. »
|
Ну так и в чем проблема? Группа "пользователи" пуста? Кроме нужных людей? В остальных локальных группах компьютера никого нет? |
Цитата:
Цитата Ivan Bardeen
Группа "пользователи" пуста? Кроме нужных людей? »
|
название домена\пользователи домена-убрал, поставил нужных доменных
Остались записи типа nt autority\интеактивные и nt autority\прошедшие проверку
Цитата:
Цитата Ivan Bardeen
В остальных локальных группах компьютера никого нет? »
|
Остальные группы не трогал |
| Ivan Bardeen |
23-12-2009 09:30 1302267 |
Цитата:
Цитата YDen
Остались записи типа nt autority\интеактивные и nt autority\прошедшие проверку »
|
Уберите их. И будет вам счастье |
Ivan Bardeen,
Огромное спасибо вам и всем кто принял участие в обсуждении, получилось.
Удачи
|
Время: 16:26.
© OSzone.net 2001-
