Отрицайте, что AD Группа пользователей входит в систему на определенной AD-Computer Group
Можно купить сертификат сертификата и csti.com contosointernational.com, который является SAN (Имейте несколько имен в нем), или только один. Технически это не имеет значения. То, что Вы закончите тем, что делали, должно создать ВНУТРЕННЮЮ зону DNS для любого domain/s, который Вы хотите реализовать в своем внешнем сертификате и просто указать что внутренние названия ресурсов, таких как mail.csti.com или mail.contosointernational.com с помощью ВНУТРЕННЕГО дюйм/с. Однако, чтобы удостовериться, что Вы сможете разрешить фактические внешние названия сервера, которые говорят, размещают Ваш www.contosointernational.com, который необходимо было бы добавить и IP к той ВНУТРЕННЕЙ зоне, указывающей на внешний IP. Также, Вы будете обязаны изменяться, с помощью powershell или Консоль Exchange, OWA, Клиентский Сервер доступа и связывать другие настройки, чтобы позволить перспективе соединяться правильно с обменом. Я сделал это дюжина времен. Это работает 100%. Просто удостоверьтесь, что запись для ВНУТРЕННЕГО/ВНЕШНЕГО почтового сервера, существует в yuor ВНУТРЕННЕЙ ЗОНЕ.
Какие точные сервисы, которые необходимо настроить, легко видимы в каждом руководстве в Интернете, объясняющем, как реализовать сертификат SSL на 2007/2010 среде Exchange.
Похоже, здесь есть некоторая путаница в терминологии между OU и группой. OU или организационная единица, в основном там вы применяете групповую политику. Группа - это группа пользователей.
Если вы хотите использовать подход в своем вопросе, вам необходимо создать группу, содержащую учащихся, и сослаться на это в вашей политике.
Если вы хотите использовать подход Zoredache (рекомендуется), вам необходимо создать группу, содержащую учителей, и указать ее в политике в разделе «Конфигурация компьютера» -> «Настройки» -> «Настройки панели управления» -> «Локальные пользователи и группы». (замените «Пользователи домена» на группу «Учителя»).
Гораздо лучше вообще не давать пользователям права входа в систему, вместо того чтобы пытаться запретить доступ.
Простым решением было бы просто использовать групповую политику для изменить членство в группе «Пользователи» на локальных машинах.
Удалите domain.tld \ Domain Users , который добавляется автоматически после присоединения к домену, а затем добавьте группы безопасности, содержащие набор пользователей, которым вы хотите иметь доступ к машине, в эту группу.
Таким образом, членство . \ Users на компьютерах Room1 может выглядеть следующим образом.
- bgs.ac.at \ Students
- bgs.ac.at \ Teachers
И Комната2 может выглядеть так.
- bgs.ac.at \ Teachers