atributo userWorkstations en AD que evita que los usuarios inicien sesión en la aplicación web

5

Para algunos de nuestros usuarios en AD, hemos establecido userWorkstations

Una forma de resolver este problema es agregar el nombre de AD-DC en la lista de estaciones de trabajo permitidas para ese usuario. Pero no estoy seguro de las implicaciones de seguridad como resultado de este cambio.

¿Hay una mejor manera de abordar esto?

    
pregunta Karthik 02.10.2015 - 00:01
fuente

1 respuesta

1

Si agrega un controlador de dominio en la lista de Logon Workstations para una cuenta de usuario, está diciendo que la cuenta específica no está restringida, desde el nivel de la cuenta, desde el inicio de sesión en ese DC. Sin embargo, esto no pasa por alto otra seguridad como Allow logon locally o Allow log on through Remote Desktop Services . Entonces, por ejemplo, si la cuenta del usuario jsmith tiene dc1 en Logon Workstations , esto no significa automáticamente que jsmith realmente pueda iniciar sesión en dc1 . Solo significa que la configuración de la cuenta no lo impide.

Un inconveniente de este escenario es que es confuso: si un administrador mira la lista de jsmith de Logon Workstations y ve un controlador de dominio, puede preguntarse por qué este atributo está establecido en esta cuenta (especialmente Si la cuenta no se nota como algún tipo de cuenta administrativa). Una buena documentación del sistema puede mitigar esta confusión.

    
respondido por el user132534 06.12.2016 - 23:46
fuente