Чтобы согласовать с @Vasili Syrakis, как вы описываете свою проблему, вы должны сделать это с помощью брандмауэров или маршрутизации на управляемом коммутаторе.
AD предназначен для аутентификации пользователей. Все, что он делает, это проверка того, что пользователь существует, является членом соответствующих групп, совпадением паролей, не отключается, и все. AD делает no подтверждение на основе IP-адреса и не способна или предназначена для этого.
Вы должны изменить способ мышления. Не думайте о попытке ограничить аутентификацию пользователя, пусть AD выполняет свою работу и аутентифицирует пользователя. Вы должны думать об этом с точки зрения ограничения доступа к ресурсу.
Как вы ограничиваете доступ к ресурсу, действительно зависит от того, что такое ресурс. Если вы хотите ограничить его на уровне сервера (т. Е. Не разрешать кому-либо из подсети 192.168.1.xxx), тогда у вас должен быть брандмауэр или коммутатор, который управляет контролем доступа. Брандмауэры и списки управления доступом предназначены для этого. Они не позволят пользователю даже достичь ресурса, и поэтому они даже не получат возможность аутентификации с помощью AD.
Если определенные компьютеры (не обязательно IP-адресов), которые вы хотите, чтобы остановить людей от входа в, то вы делаете это с помощью комбинации AD групп и групповой политики см: Deny and Allow Logons with Group Policy
Вы должны сделать это в уровень брандмауэра. Если они не могут выполнить аутентификацию, они не могут войти в систему. –
@ Vasili Syrakis: я хочу отказать в аутентификации некоторого пользователя с ip addess.how я могу это сделать? – KF2
Вы блокируете свой IP-адрес со всех своих серверов AD или всех протоколов LDAP –