Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   Создать доменного пользователя без прав входа (http://forum.oszone.net/showthread.php?t=328470)

sovransky5 19-07-2017 21:29 2752603
Создать доменного пользователя без прав входа
 
Доброго дня!
Требуется создать доменного юзера, который, как бы правильно сказать, не имел никаких прав в домене совсем. То есть не мог логинится на компьютеры, авторизоваться в сети и т.п. и был полностью бесправным чтобы в случае чего не нанести никакого вреда сети. Нужно лишь чтобы его учетная запись была в AD для того чтобы ее оттуда мог взять openfire и все. Такое можно реализовать? Спасибо.

cameron 20-07-2017 08:22 2752669
группа "Гости домена"

paranoya 20-07-2017 11:00 2752712
Гости домена, могут логинится на компьютеры, единственное их отличие от обычных пользователей - удаление профиля после выхода.
Чтобы юзер ничего не мог сделать нужно настраивать групповые политики - запрещать вход на рабочие станции и прочее.

cameron 20-07-2017 11:13 2752714
Цитата:
Цитата paranoya
Гости домена, могут логинится на компьютеры »
точно, поздабыла.
добавить в DDP на отказы и всё.

sovransky5 20-07-2017 14:47 2752768
спасибо. ТО есть это надо создавать отдельную политику в домене специально под них? Муторно получается... (

paranoya 20-07-2017 14:54 2752769
sovransky5, если озвучишь зачем этот юзер нужен openfire, то возможно найдётся другое решение в виде Управляемые служебные учетные записи (Managed Service Accounts, MSA)

sovransky5 20-07-2017 15:00 2752773
paranoya,
OF стоит в локальной сети как местная аська jabber для своих и для сидящих через VPN. Юзеры в нем берутся из AD, соответственно локального уже не добавишь. Мне нужно добавить в него пару человек из другой орг-ции - партнера.

paranoya 20-07-2017 17:14 2752796
sovransky5,
Можно "Гостями домена" обойтись и без групповых политик, достаточно в свойствах учётной записи этого юзера ограничить список рабочих станций на которые он может входит, поставив имя несуществующей рабочей станции. И если в самом домене нигде в расшаренных папках или других службах не указана группа гостей в безопасности, то и сделать эта учётная запись ничего не сможет.

sovransky5 20-07-2017 21:40 2752844
paranoya, спасибо большое, как то не подумал что для входа можно указать левый компьютер. А вот на шарах указаны либо конкретные пользователи, либо "Прошедшие проверку".

paranoya 20-07-2017 23:10 2752860
Цитата:
Цитата sovransky5
"Прошедшие проверку" »
Это не очень хорошо, потому как гости тоже являются прошедшими проверку, после их авторизации в системе.

sovransky5 21-07-2017 11:01 2752921
paranoya, это у нас общедоступные папки на машинах, типа для всех местных для быстрого обмена не секретными данными. Может в них указывать "Пользователи домена" вместо прошедших проверку?

cameron 21-07-2017 11:34 2752929
две минуты на редактиование DDP, но нет.. мы лёгких путей не ищем.

dahiko 21-07-2017 12:42 2752946
В свойствах учетной записи на вкладке "Учетная запись" нажми кнопку "Вход на". Там можно ввести вымышленное имя компьютера, на которое разрешено входить данной учетке. Соответственно, ни на один ПК он не сможет залогиниться.

sovransky5 21-07-2017 13:28 2752958
cameron, я понял, не получится так дак придется создавать для них отдельную политику.
dahiko, это уже обсудили выше, речь была про шары.


Время: 13:26.

Время: 13:26.
© OSzone.net 2001-