使用 Active Directory 和禁用帐户的 SSO
SSO using Active Directory and Disabled Accounts
我们正在将我们公司与第三方人员管理工具集成,并将使用 Active Directory 进行 SSO。我们需要被解雇的员工能够登录到这个第三方工具来检索 W-2 之类的东西,但是当他们被解雇时在 AD 中禁用它们似乎可以防止这种情况发生。这方面的最佳做法是什么?我们如何才能继续将 AD 用于 SSO,而不让离职的员工在 AD 中处于活动状态(即使他们在受限的 OU 中)?
如果他们需要针对域进行身份验证,则您无法禁用该帐户。但是,您可以限制他们可以登录的位置。
有此设置拒绝 "log on locally"(即他们无法交互式登录到任何计算机):https://4sysops.com/archives/deny-and-allow-workstation-logons-with-group-policy/
但是在任何地方远程登录对您来说仍然过于开放。
每个帐户还有 'Log On To' 设置。在 AD 用户和计算机中,在用户对象的帐户选项卡上,有一个 'Log On To' 按钮。在那里您可以指定用户是否可以登录 'All computers' 或仅某些。您可以使用它并仅添加他们需要访问的应用程序的服务器名称。
我以前从未亲自使用过该功能,因此您可能需要尝试一下才能使用它。如果您想将其应用于整个用户单位,可能也有一种方法可以在组策略中进行设置。
我们正在将我们公司与第三方人员管理工具集成,并将使用 Active Directory 进行 SSO。我们需要被解雇的员工能够登录到这个第三方工具来检索 W-2 之类的东西,但是当他们被解雇时在 AD 中禁用它们似乎可以防止这种情况发生。这方面的最佳做法是什么?我们如何才能继续将 AD 用于 SSO,而不让离职的员工在 AD 中处于活动状态(即使他们在受限的 OU 中)?
如果他们需要针对域进行身份验证,则您无法禁用该帐户。但是,您可以限制他们可以登录的位置。
有此设置拒绝 "log on locally"(即他们无法交互式登录到任何计算机):https://4sysops.com/archives/deny-and-allow-workstation-logons-with-group-policy/
但是在任何地方远程登录对您来说仍然过于开放。
每个帐户还有 'Log On To' 设置。在 AD 用户和计算机中,在用户对象的帐户选项卡上,有一个 'Log On To' 按钮。在那里您可以指定用户是否可以登录 'All computers' 或仅某些。您可以使用它并仅添加他们需要访问的应用程序的服务器名称。
我以前从未亲自使用过该功能,因此您可能需要尝试一下才能使用它。如果您想将其应用于整个用户单位,可能也有一种方法可以在组策略中进行设置。