如何限制AD帳號可以存取或登入的範圍？

如何限制AD帳號可以存取或登入的範圍？
到iT邦幫忙

sparq（IT邦初學者9級）發問：
如何限制使用者不能以AD帳號存取網域中分享的資料夾，甚至限制登入伺服器？

laiout（IT邦初學者8級）：
1.限制使用者存取網域中分享的資料夾：只要在資料夾分享權限或安全性將「Everyone」及「Domain Users」的設定移除，加入允許存取的帳號即可（分享權限或安全性，只設定其中一種）。

2.限制帳號登入伺服器上：只要在伺服器的「本機安全性原則」->「本機原則」->「使用者權限指派」的「本機登入」項目中，移除不需要的帳號及群組，加入允許存取的帳號或群組即可。

sheng514（IT邦初學者9級）：
伺服器分享的資料夾可以設定權限，通常開啟分享後，會將權限指定成「Everyone」具有讀取的權限，因此設定權限有兩種方式：

1.將「Everyone」移除，只加入預計開放權限的AD帳號。

2.加入打算限制的帳號，然後設定不允許存取。

第一種方法屬於正向表列，第二種則是負向列表，可看實際的情況選用適合的方案。

至於登入伺服器的管制，AD帳號如果只是一般使用者（不歸屬於管理員群組）的身分，是不能登入伺服器的（當然，該伺服器需加入AD），管理員群組包含了「Administrators」、「Domain Admin」…等。

vincent118（IT邦初學者2級）：
如果情況是有一些應用程式整合AD帳號作為登入，或是遠端連線登入網路使用，但不希望某些帳號存取伺服器，你可以試試在「網域群組原則」->「本機原則」->「使用者權限指派」->「拒絕從網路存取這臺電腦」，將需要限制的帳號加入。

tom6507（IT邦初學者9級）：
如果不想讓使用者登入AD後，去存取伺服器，只要在伺服器上設定僅允許某些管理員可登入，而不要設定共用帳號登入。