nega acesso a servidores de arquivos e PCs em um domínio - usuário convidado

Supondo que você tenha não concedido o acesso Everyone a todos os recursos, basta criar uma conta local no (s) computador (es) que o convidado utilizará. Eles fazem logon no (s) computador (es) com essa conta e nem sequer efetuaram login no domínio, portanto, por padrão, não têm acesso a nenhum recurso de domínio.

Se você precisar usar uma conta de domínio, crie uma nova conta de domínio e crie um novo grupo de segurança de domínio (você pode chamá-lo de "Usuários Convidados") para essa conta. Adicione a conta ao grupo, defina o novo grupo como o grupo principal do usuário e remova o usuário do grupo Usuários do Domínio . Agora o usuário deve ter acesso a nada no domínio, assumindo novamente que você não concedeu acesso a nada para o objeto Everyone , porque ninguém poderia ter concedido acesso a qualquer coisa no passado para uma marca nova. usuário ou grupo.

Se você tiver concedido acesso a qualquer coisa para Todos , ou tiver motivos para acreditar que Todos pode ter direitos de acesso a quaisquer recursos, será necessário executá-los para baixo e corrija-o. Um objeto que você quase sempre pode usar como substituto para Todos é Usuários do Domínio , porque, em geral, todas as contas de domínio são membros de Usuários do Domínio (a menos que a conta tenha sido especificamente removida, conforme descrito acima). Observe que você não deve alterar as permissões para os recursos que seus usuários estão usando durante o horário comercial, pois eles provavelmente terão acesso negado por suas alterações até a próxima vez que fizerem logon e receberem um token de segurança. Idealmente, você teria alguns consultores experientes à disposição para ajudá-lo com esse tipo de alteração de permissões, já que é muito possível acidentalmente negar aos usuários o acesso a recursos importantes ou conceder aos usuários acesso a informações confidenciais.

Se o (s) computador (es) nunca será (em) usado (s) pela equipe completa para precisar de acesso ao domínio, você poderá dedicar o (s) computador (es) ao convidado e nem ingressar no domínio. Finalmente, a separação final para convidados seria para o (s) computador (es) em questão estar em uma rede separada ou VLAN dos computadores de domínio, possivelmente compartilhando a Internet através de um firewall com múltiplas interfaces físicas ou virtuais, ou mesmo com um dedicado separado. firewall e conexão à internet.

Se a conta de usuário convidado for uma conta do Active Directory, por que você não acessa a conta de usuário no Active Directory, vá para Propriedades, vá para a guia Conta, clique no botão Efetuar Logon para ... e digite os nomes dos computadores para os quais você permitirá que o usuário convidado faça logon?

Os pontos de Todd também devem ser considerados antes de decidir como implementar isso. Se você tiver computadores com compartilhamentos configurados para permissões de Compartilhamento e NTFS de Todos Permitir Total, será necessário lidar com isso.

A maneira correta de ter acesso de convidado em uma rede que é separada de sua rede de produção é ter a rede convidada em uma VLAN (Virtual Local Area Network) separada, como Todd apontou.

Muitas pessoas parecem pensar que permitir o acesso de convidados à sua rede não é um grande problema e eles podem simplesmente ativar um switch e fazê-lo funcionar, mas não permitir que esses mesmos visitantes tenham acesso à sua rede. Isso não é como isso funciona. O planejamento economiza muitas dores de cabeça, portanto, se você acha que precisa fornecer aos clientes acesso à Internet, mas mantê-los fora de sua rede de produção, reserve tempo para projetar e segregar adequadamente sua rede usando VLANs. Não é uma tarefa pequena, mas quando configurada corretamente, mantém as duas redes segregadas, dando acesso à Internet (ou a outros recursos, como impressoras ou servidores).