none
Доступ доменных пользователей к рабочим станциям в соответствии с организационной структурой RRS feed

  • Вопрос

  • Здравствуйте!

    Существует домен с несколькими OU, в каждом OU имеются идентичные OU(Workstations, User, Groups,...).

    Есть ли возможность ограничить пользователю вход на рабочие станции в зависимости от его принадлежности к конкретному OU(к своему - разрешить, к другим - запретить)?


    4 февраля 2012 г. 20:04

Ответы

  • Пристыкуйте к нужным OU политику, в которой настройте два параметра:

    1. В User Rights укажите право Log On Locally администраторам и некой группе MyCompany ThisDepartment Users

    2. Внесите в группу MyCompany This Department Users соответствующих пользователей.

     

    Вообще, управление такой структурой будет капельку сложноватым — скажем, регистрация пользователей или перенос потребуют дополнительных телодвижений. Однако, к примеру, в моей рабочей среде определять членство в группах политиками — это нормально. Просто отразите необходимые действия в документе под названием "Правила регистрации пользователей компании MyCompany". Обычно эти правила всё равно нужны, так как действий оказывается много.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI
    • Предложено в качестве ответа Ivan BardeenEditor 5 февраля 2012 г. 11:30
    • Помечено в качестве ответа SmithJOhn2008 5 февраля 2012 г. 12:42
    5 февраля 2012 г. 10:02
    Отвечающий

Все ответы

  • Стандартно назначение разрешений и иных прав доступа производится на основе членства пользователя в группах, а не от его положения в AD. В данном случае можно разработать сценарий входа пользователя в систему, в котором будут анализироваться атрибут Distinguished Name, переменная %computername% и в этой зависимости будет выпоняться или не выполняться команда выхода из системы. Такой сценарий должен быть настроен через групповые политики - Logon Scripts.

     


    4 февраля 2012 г. 20:40
    Модератор
  • Спасибо за направление!

    Представлялась возможность более простого решения, без использования скриптов!

    5 февраля 2012 г. 8:15
  • Пристыкуйте к нужным OU политику, в которой настройте два параметра:

    1. В User Rights укажите право Log On Locally администраторам и некой группе MyCompany ThisDepartment Users

    2. Внесите в группу MyCompany This Department Users соответствующих пользователей.

     

    Вообще, управление такой структурой будет капельку сложноватым — скажем, регистрация пользователей или перенос потребуют дополнительных телодвижений. Однако, к примеру, в моей рабочей среде определять членство в группах политиками — это нормально. Просто отразите необходимые действия в документе под названием "Правила регистрации пользователей компании MyCompany". Обычно эти правила всё равно нужны, так как действий оказывается много.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI
    • Предложено в качестве ответа Ivan BardeenEditor 5 февраля 2012 г. 11:30
    • Помечено в качестве ответа SmithJOhn2008 5 февраля 2012 г. 12:42
    5 февраля 2012 г. 10:02
    Отвечающий
  • Ребята, а почему никто не предлагает использовать Log On в свойствах пользователя. Очень удобно - определил для пользователя один, два, три .. компьютера и все. на остальные он не войдет.
    5 февраля 2012 г. 11:21
  • Ребята, а почему никто не предлагает использовать Log On в свойствах пользователя. Очень удобно - определил для пользователя один, два, три .. компьютера и все. на остальные он не войдет.

    Этот вариант полезен при численности 10 - 15 пользователей.

    А вот если 100 и более, вот тут и начинается самое интересное.

    5 февраля 2012 г. 12:19
  • Зачем сочинять, на просторах Сети уже все есть - ну может, чуть-чуть подправить. Сам пользуюсь: скрипт + xls-файл (имя пользователя - список рабочих станций).
    5 февраля 2012 г. 12:29
  • Пристыкуйте к нужным OU политику, в которой настройте два параметра:

    1. В User Rights укажите право Log On Locally администраторам и некой группе MyCompany ThisDepartment Users

    2. Внесите в группу MyCompany This Department Users соответствующих пользователей.

     

    Вообще, управление такой структурой будет капельку сложноватым — скажем, регистрация пользователей или перенос потребуют дополнительных телодвижений. Однако, к примеру, в моей рабочей среде определять членство в группах политиками — это нормально. Просто отразите необходимые действия в документе под названием "Правила регистрации пользователей компании MyCompany". Обычно эти правила всё равно нужны, так как действий оказывается много.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI


    Спасибо!

    Это точто я хотел! С моей структурой ОU я думаю больших сложностей не будет!

    5 февраля 2012 г. 12:47