Autenticação condicional baseada na participação em grupo no AD

1

Eu preciso autenticar os usuários do AD que fazem login em suas estações de trabalho apenas se pertencerem ao grupo de segurança NO MOMENTO DE AUTENTICAÇÃO. Eles estão sendo adicionados a esse grupo privilegiado logo antes de colocarem suas senhas (precisam atender a certos requisitos), depois fazem logon e, depois de um minuto, estão sendo removidos do grupo.

Pensei que poderia fazer isso com o GPO "Fazer logon local" e quase funcionou até que o usuário fosse removido do grupo privilegiado. Foi quando ele perdeu o acesso a recursos compartilhados.

Então, minha pergunta é: como afetar somente o processo de autenticação (não toda a sessão interativa) usando a associação do grupo de segurança. Eu me importo se ele é um membro desse grupo privilegiado apenas no momento da autenticação.

Obrigado por qualquer sugestão.

    
por Mike 04.06.2013 / 12:05

1 resposta

2

O Active Directory não funciona dessa maneira. Você se autentica nos controladores de domínio várias vezes durante a sessão, não apenas para o login inicial, mas também sempre que acessa um recurso remoto (compartilhamentos de arquivos, impressoras de rede, servidores de terminal, sites de intranet, etc.).

Portanto, eles têm as permissões de grupo quando fazem login, mas, uma vez que são removidos, vão autenticar para o servidor de arquivos e (corretamente) não têm mais a associação ao grupo apropriada, por isso, recebam acesso negado.

É um requisito bastante estranho, mas isso pode funcionar:

  • Crie dois grupos, "permissões do grupo" e "login do grupo"
  • Conceder permissões locais para "login de grupo"
  • Conceder todas as outras permissões, como compartilhamentos de rede, a "permissões de grupos"
  • Adicione o usuário a "permissões do grupo" e "login do grupo"
  • Remover o usuário do "login do grupo" após 1 minuto
  • Opcionalmente, remova o usuário de "permissões do grupo" depois de um dia ou hora, ou sempre que elas precisarem ser feitas no computador

Você precisará usar o grupo "permissões do grupo" para qualquer coisa que ele autenticar novamente durante a sessão - sites da intranet, compartilhamentos de arquivos, etc.

Dessa forma, eles mantêm uma associação de grupo durante toda a sessão, mas não podem fazer login localmente uma segunda vez. Se você permitir logins remotos (isto é, para um servidor de terminal ou algo assim), provavelmente precisará usar o grupo "group-permissions" para permitir o login remotamente, para que eles possam se reconectar se estiverem desconectados.

    
por 04.06.2013 / 16:25