none
如何禁止本域用户在外部信任域登录? RRS feed

  • 问题

  • 域A(aaa.local),可以连接外网,域B(bbb.local),归属于一个禁止连接外网的VLAN,由于其他软件的需要,两个域必须做双向信任。

    现在希望达到这样的目的:

    1. 域B的服务器上有一个共享文件夹,只能在隔绝外网的状态下操作,即允许被域B的账号在域B的计算机上登录后进行修改编辑,域B提供一个只读账号,允许域A的用户通过该账号对域B的共享文件夹进行只读访问;

    2. 除了只读账号外,其余账号只能在本域的计算机登录,即域A的账号不允许登录域B的计算机(如Client001.bbb.local),同样,域B的账号不允许登录域A的计算机(如Client001.aaa.local);

    3. 禁止向对方域发布共享文件夹。

    请问有什么办法可以达成上述目的呢?

    关于第2点,我考虑过使用在AD中设置允许登录到哪些计算机,但这个名字只是计算机名,无法区分属于哪个域,甚至在一个域外的同名计算机上,也可以通过使用该Windows凭据访问域B的文件。

    2019年2月19日 2:12

答案

全部回复

  • 你好,

    谢谢你的问题。

    1. 你可以通过对共享文件夹ACL的设置,给予域B中的用户可读可写的权限,给予域A中的用户可读权限来实现你的要求。

    2. 您可以限制适用于域A中域A中的计算机的基于域的组策略的“允许本地登录”用户权限分配,或者将域B中的域用户显式“拒绝本地登录”应用于计算机在域A中。使用组策略中的“允许本地登录”和“拒绝本地登录”的策略来实现你的需求。

    详情请看:

    https://social.technet.microsoft.com/Forums/windowsserver/en-US/466fae2d-3acb-4e08-b65b-4e668f9e97ac/allow-log-on-locally?forum=winserverGP

    3. 第三个问题暂时没有想法。

    最好的祝福,

    Lee


    Just do it.

    • 已标记为答案 miaomaoz 2019年2月21日 6:46
    2019年2月20日 9:31
    版主
  • 谢谢您的回答。

    我这两天也想到了设置对方域帐户在本域“拒绝本地登录”,并进行了实验。

    关于第3点,我的目的是避免用户私自通过共享文件夹在内外网之间交换文件。所以,通过在内网DC的客户端OU的组策略的防火墙设置中发布入站、出站各一条规则,禁止外部的IP访问本子网的139、445端口,禁止本子网访问外部的139、445端口,这样可以达到目的。

    2019年2月21日 6:46