在互联网上搜索2天后,无法通过IP范围找到限制用户身份验证的方法。
我有2个rodc(A和B)和一个RWDC。我的RWDC活动目录中有user1。
我想将用户指定为RODC A,但两个RODC中的两个客户端都可以使用user1登录到窗口。
是否有任何方法可以使用PowerShell来限制用户身份验证。
答案 0 :(得分:1)
要同意@Vasili Syrakis,您如何描述您的问题,您必须使用防火墙或在您的管理型交换机上进行路由。
AD专为用户身份验证而设计。它只是验证用户是否存在,是否是相应组的成员,密码是否匹配,是否已禁用,就是这样。 AD根据IP地址进行无验证,并且无法做到这一点,或者是为此而设计的。
你必须改变你的思维方式。不要考虑尝试限制用户身份验证,让AD做它的工作并验证用户身份。您必须在限制对资源的访问方面考虑它。
如何限制对资源的访问权限取决于资源的来源。如果你想在服务器级别限制它(即不允许任何来自192.168.1.xxx子网的人到我这里),那么你必须有一个管理访问控制的防火墙或交换机。防火墙和访问控制列表旨在实现此目的。他们不会让用户甚至到达资源,因此他们甚至没有机会通过AD进行身份验证。
如果您要阻止人们登录的是特定计算机(不一定是IP地址),那么您可以使用AD组和组策略的组合来执行此操作请参阅:Deny and Allow Logons with Group Policy