Para algunos de nuestros usuarios en AD, hemos establecido userWorkstations
Una forma de resolver este problema es agregar el nombre de AD-DC en la lista de estaciones de trabajo permitidas para ese usuario. Pero no estoy seguro de las implicaciones de seguridad como resultado de este cambio.
¿Hay una mejor manera de abordar esto?
Si agrega un controlador de dominio en la lista de Logon Workstations para una cuenta de usuario, está diciendo que la cuenta específica no está restringida, desde el nivel de la cuenta, desde el inicio de sesión en ese DC. Sin embargo, esto no pasa por alto otra seguridad como Allow logon locally o Allow log on through Remote Desktop Services . Entonces, por ejemplo, si la cuenta del usuario jsmith tiene dc1 en Logon Workstations , esto no significa automáticamente que jsmith realmente pueda iniciar sesión en dc1 . Solo significa que la configuración de la cuenta no lo impide.
Un inconveniente de este escenario es que es confuso: si un administrador mira la lista de jsmith de Logon Workstations y ve un controlador de dominio, puede preguntarse por qué este atributo está establecido en esta cuenta (especialmente Si la cuenta no se nota como algún tipo de cuenta administrativa). Una buena documentación del sistema puede mitigar esta confusión.
Lea otras preguntas en las etiquetas web-application operating-systems windows windows-server active-directory