attributo userWorkstations in Active Directory che impedisce agli utenti di accedere a WebApp

5

Per alcuni dei nostri utenti in AD, abbiamo impostato userWorkstations per limitare l'accesso ad altre macchine. Ma questo impedisce agli utenti di accedere a WebApplications (circa 50+) protetti da Access Manager (nel nostro caso OpenAM).

Un modo per risolvere questo problema è aggiungere il nome di AD-DC nell'elenco delle postazioni di lavoro consentite per quell'utente. Ma non sono sicuro delle implicazioni sulla sicurezza come risultato di questo cambiamento.

C'è un modo migliore per avvicinarsi a questo?

    
posta Karthik 02.10.2015 - 00:01
fonte

1 risposta

1

Se aggiungi un controller di dominio nell'elenco di Logon Workstations per un account utente, stai dicendo che l'account specifico non è limitato, dal livello di account, dall'accesso a quel DC. Tuttavia, questo non aggira altri strumenti di sicurezza come Allow logon locally o Allow log on through Remote Desktop Services . Ad esempio, se l'account jsmith dell'utente ha dc1 in Logon Workstations , ciò non significa automaticamente che jsmith possa realmente accedere a dc1 . Significa solo che le impostazioni dell'account non lo impediscono.

Uno svantaggio di questo scenario è che è confuso: se un amministratore guarda l'elenco di jsmith di Logon Workstations e vede un controller di dominio, può chiedersi perché questo attributo è impostato su questo account (in particolare se l'account non è visibile come una sorta di account amministrativo). Una buona documentazione di sistema può mitigare questa confusione.

    
risposta data 06.12.2016 - 23:46
fonte