我们正在将我们公司与第三方人员管理工具集成,并将使用Active Directory进行SSO。我们需要已终止的员工能够登录到第三方工具来检索W-2之类的东西,但是当他们被终止时在AD中禁用它们似乎阻止了这一点。这是什么最好的做法?我们如何继续使用AD进行SSO,而不会让已终止的员工在AD中活跃(即使他们在受限制的OU中)?
答案 0 :(得分:0)
如果他们需要针对域进行身份验证,则无法禁用该帐户。但是,您可以限制他们可以登录的位置。
此设置拒绝“本地登录”(即他们无法以交互方式登录到任何计算机):https://4sysops.com/archives/deny-and-allow-workstation-logons-with-group-policy/
但是,在任何地方远程登录仍然可能对你来说太开放了。
每个帐户还有“登录到”设置。在AD用户和计算机中,在User对象的Account选项卡上,有一个'Log On To'按钮。在那里,您可以指定用户是否可以登录“所有计算机”或仅登录某些计算机。您可以使用它并仅添加他们需要访问的应用程序的服务器名称。
我之前从未亲自使用过该功能,因此您可能需要使用它才能使其正常工作。如果要将其应用于整个用户OU,可能还有一种方法可以在组策略中设置它。