2.6. 组策略对象访问控制
组策略是一种 Microsoft Windows 功能,使管理员能够集中管理 Active Directory(AD)环境中的用户和计算机的策略。组策略对象 (GPO)是存储在域控制器(DC)上的策略设置集合,可应用于策略目标,如计算机和用户。与 Windows 登录权限相关的 GPO 策略设置通常用于管理 AD 环境中的基于计算机的访问控制。
2.6.1. SSSD 如何使用 GPO 访问控制工作
当您将 SSSD 配置为应用 GPO 访问控制时,SSSD 会检索适用于主机系统和 AD 用户的 GPO。根据检索的 GPO 配置,SSSD 确定是否允许用户登录到特定的主机。这样,管理员可以定义 AD 域控制器上集中的 Linux 和 Windows 客户端遵守的登录策略。
重要
安全过滤功能允许您通过在安全过滤器中列出特定用户、组或主机来进一步限制 GPO 访问控制的范围。但是,SSSD 只支持安全过滤器中的用户和组。SSSD 忽略安全过滤器中的主机条目。
为确保 SSSD 将 GPO 访问控制应用到特定系统,请在 AD 域中创建新 OU,将系统移到 OU,然后将 GPO 链接到这个 OU。