ユーザーがWebAppにログインできないようにするADのuserWorkstations属性
ADの一部のユーザーについては、他のマシンへのアクセスを制限するために serWorkstations 属性を設定しています。しかし、これにより、これらのユーザーはAccess Manager(この場合はOpenAM)で保護されたWebアプリケーション(約50以上)にログインできなくなります。
この問題を解決する1つの方法は、そのユーザーに許可されたワークステーションのリストにAD-DC名を追加することです。しかし、この変更の結果としてのセキュリティへの影響についてはよくわかりません。
これに取り組むより良い方法はありますか?
ユーザーアカウントのLogon Workstationsのリストにドメインコントローラーを追加すると、特定のアカウントは、アカウントレベルで、そのDCへのログオンが制限されないことになります。ただし、これはAllow logon locallyやAllow log on through Remote Desktop Servicesなどの他のセキュリティをバイパスしません。したがって、たとえば、ユーザーjsmithのアカウントがdc1にLogon Workstationsを持っている場合、これはjsmithが実際にdc1にログオンできることを自動的に意味するわけではありません。それは単にアカウントの設定がそれを妨げないことを意味します。
このシナリオの欠点の1つは、混乱を招くことです。管理者がjsmithのLogon Workstationsのリストを見て、ドメインコントローラーを表示すると、このアカウントにこの属性が設定されている理由(特にアカウントがなんらかの管理アカウントとして目立たない場合)。優れたシステムドキュメントは、この混乱を軽減できます。