После двухдневного поиска в Интернете не удается найти способ ограничения аутентификации пользователей по диапазону IP.Ограничить аутентификацию пользователей по IP с помощью PowerShell
У меня есть 2 стержня (A и B) и RWDC. У меня есть user1 в моем активном каталоге RWDC. Я хочу указать пользователя для RODC A, но оба клиента в обоих RODC могут войти в окна с user1.
Есть ли способ ограничить аутентификацию пользователя по IP с помощью PowerShell.
Чтобы согласовать с @Vasili Syrakis, как вы описываете свою проблему, вы должны сделать это с помощью брандмауэров или маршрутизации на управляемом коммутаторе.
AD предназначен для аутентификации пользователей. Все, что он делает, это проверка того, что пользователь существует, является членом соответствующих групп, совпадением паролей, не отключается, и все. AD делает no подтверждение на основе IP-адреса и не способна или предназначена для этого.
Вы должны изменить способ мышления. Не думайте о попытке ограничить аутентификацию пользователя, пусть AD выполняет свою работу и аутентифицирует пользователя. Вы должны думать об этом с точки зрения ограничения доступа к ресурсу.
Как вы ограничиваете доступ к ресурсу, действительно зависит от того, что такое ресурс. Если вы хотите ограничить его на уровне сервера (т. Е. Не разрешать кому-либо из подсети 192.168.1.xxx), тогда у вас должен быть брандмауэр или коммутатор, который управляет контролем доступа. Брандмауэры и списки управления доступом предназначены для этого. Они не позволят пользователю даже достичь ресурса, и поэтому они даже не получат возможность аутентификации с помощью AD.
Если определенные компьютеры (не обязательно IP-адресов), которые вы хотите, чтобы остановить людей от входа в, то вы делаете это с помощью комбинации AD групп и групповой политики см: Deny and Allow Logons with Group Policy
точно у меня есть две группы. Группа А и группа Bi хотят, чтобы cilent с диапазоном ip 192.168.1.1/24 просто мог войти в Windows с группой A и может не входите в систему с группой Bi, найдите это программное обеспечение: http: //www.isdecisions.com/products/userlock/.this bliock доступ к определенной группе по ip range.dose он вносит изменения в powershell? У вас есть идеи? – KF2
PowerShell - это язык сценариев, и вы на самом деле не вносите в него никаких изменений. Это программное обеспечение, вероятно, будет делать то, что вы хотите, и если это так, вы должны его получить. Возможно, вы можете сделать то же самое в PowerShell, но для этого потребуется время. – HAL9256
Вы должны сделать это в уровень брандмауэра. Если они не могут выполнить аутентификацию, они не могут войти в систему. –
@ Vasili Syrakis: я хочу отказать в аутентификации некоторого пользователя с ip addess.how я могу это сделать? – KF2
Вы блокируете свой IP-адрес со всех своих серверов AD или всех протоколов LDAP –