ADの一部のユーザーについては、他のマシンへのアクセスを制限するために serWorkstations 属性を設定しています。しかし、これにより、これらのユーザーはAccess Manager(この場合はOpenAM)で保護されたWebアプリケーション(約50以上)にログインできなくなります。
この問題を解決する1つの方法は、そのユーザーに許可されたワークステーションのリストにAD-DC名を追加することです。しかし、この変更の結果としてのセキュリティへの影響についてはよくわかりません。
これに取り組むより良い方法はありますか?
ユーザーアカウントのLogon Workstations
のリストにドメインコントローラーを追加すると、特定のアカウントは、アカウントレベルで、そのDCへのログオンが制限されないことになります。ただし、これはAllow logon locally
やAllow log on through Remote Desktop Services
などの他のセキュリティをバイパスしません。したがって、たとえば、ユーザーjsmith
のアカウントがdc1
にLogon Workstations
を持っている場合、これはjsmith
が実際にdc1
にログオンできることを自動的に意味するわけではありません。それは単にアカウントの設定がそれを妨げないことを意味します。
このシナリオの欠点の1つは、混乱を招くことです。管理者がjsmith
のLogon Workstations
のリストを見て、ドメインコントローラーを表示すると、このアカウントにこの属性が設定されている理由(特にアカウントがなんらかの管理アカウントとして目立たない場合)。優れたシステムドキュメントは、この混乱を軽減できます。