Configuración de la count de AD limitada para la persona de soporte externo

Estoy intentando fijar una count limitada para una compañía exterior en directory activo. Necesitan conectarse a un server para configurar su software. He creado un nuevo grupo llamado "Limited Access", que hizo que su grupo principal, y eliminado de todos los demás grupos, incluidos los usuarios del dominio. Todavía no les he asignado ningún permiso al server al que deberían tener acceso.

Pero al parecer eso no es suficiente para evitar que se inicien en todos mis serveres. Ellos no pueden acceder a cualquier cosa a través de RDP, pero puede iniciar session localmente a mi Windows 2008R2 serveres.

He mirado a través de todas las políticas de grupo y "Configuración de equipo \ Directivas \ Configuración de Windows \ Configuración de security \ Directivas locales \ Asignación de derechos de usuario \ Permitir iniciar session localmente" no está definida.

En Directiva de security local, la misma configuration list "Administradores, Operadores de copy de security y Usuarios". ¿Los usuarios incluyen a cualquier persona en el directory activo, incluso si no están en usuarios del dominio?

Quiero que este usuario en particular sólo se le permita iniciar session en un server para configurar su software. ¿Qué debo hacer para evitar que se inicien en otros sistemas?

Edit: Un poco más de excavación muestra Authenticated Users e INTERACTIVE son miembros del grupo Usuarios locales … de lo que he leído, puede ser imprudente cambiar eso. Entonces, ¿cuál es la forma correcta de crear una count de usuario con acceso a NADA, y luego darles permissions específicos a algunas máquinas?

One Solution collect form web for “Configuración de la count de AD limitada para la persona de soporte externo”

Desea limitar esto utilizando la propiedad "Iniciar session en" en la ficha de count de la count del usuario en ADUC. No te molestes en jugar con GPO para un solo usuario que necesites limitar.

introduzca la descripción de la imagen aquí

  • Registrar bashs de inicio de session no válidos - htpasswd
  • No se puede verificar la firma (openssl)
  • Compartir un file en el server sin dar derechos a los usuarios de tal manera que el file no se puede copyr?
  • Asegurar Apache en Windows
  • ¿Cómo se asignan los services a los files en /etc/pam.d?
  • Error de installation de Microsoft LAPS
  • ¿Existe alguna manera de forzar el desassembly automático de un volumen bajo ciertas condiciones?
  • Maneras comunes de los files de spam que terminan en un directory web
  • ¿Qué tan malo es establecer la dirección de enlace de MySQL a 0.0.0.0?
  • se progtwig de copy de security a través de windows estándar de copy de security gui compatible con la networking?
  • Permitir que cualquier file se cargue en el server y los riesgos de security
  • ¿Debo usar un banner de inicio de session y si es así, qué debería decir?
  • Nginx de límite de velocidad basado en una request previa
  • El linux y los temas del servidor de Windows, como ubuntu, centos, apache, nginx, debian y consejos de red.