我们有一台运行我们的域的Windows Server 2008 R2服务器。
我们有大约40个用户和大约30台电脑。 大多数用户都有自己的专用工作站,然而每天早上大约有5台计算机会被一个人login,然后每个人只需要使用自己的个人资料来检查一些东西(通常每次大约2分钟)。
我想知道是否有可能有这5台电脑在他们自己的OU的域名,然后以某种方式使他们自动login到通用的用户帐户,没有任何通常的驱动器映射等
有人可以在早上启动机器,直接进入通常用户configuration文件的locking版本。
这可能吗?
当然。 你可以做到这一点。
创build“通用”帐户,并授予您任何需要的权限。 为帐户设置密码并使用组策略使自动login发生。
没有股票组策略模板来控制自动login。 一个简单的模板可能是这样的:
CLASS MACHINE CATEGORY "System" CATEGORY "Logon" POLICY "Auto Logon" KEYNAME "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" VALUENAME "AutoAdminLogon" VALUEON "1" VALUEOFF "0" PART "Username" EDITTEXT VALUENAME "DefaultUserName" END PART PART "Domain" EDITTEXT VALUENAME "DefaultDomainName" END PART PART "Password" EDITTEXT VALUENAME "DefaultPassword" END PART END POLICY END CATEGORY ; "Logon" END CATEGORY ; "System" 将其保存在“.ADM”文件中,创build与其链接的OU和GPO,然后编辑该GPO。 在组策略编辑器中,您需要右键单击“pipe理模板”和“添加/删除模板”以添加此模板。 您会在“经典pipe理模板”下find这些设置。
请记住,这个设置将“纹身”您所使用的个人电脑的registry。 当您将它们移出OU时,它们将保留自动login设置。 要么通过脚本删除它们,要么将PC重新定位到一个带有“恶意反政策”GPO链接的OU,禁止使用自动login设置来取消纹身。
如果您希望将某些特定的组策略设置应用于通用用户帐户,请确保将该用户对象放在适当的位置并为其提供适当的组成员身份等。
有可能的。 为计算机创buildOU,将计算机移到OU,在OU中创build通用用户帐户,为OU创buildGPO并将其链接到OU,在OU中设置相应的计算机和用户设置,然后设置在计算机上自动login通用用户所需的registry信息。
如果您不想将更高级别的GPO设置应用于OU,则可以阻止新OU上的inheritance。 您也可以在更高级别的OU上使用GPO安全筛选,将它们应用于包含通用用户和5台计算机以外的所有组,但阻止在特定OU上inheritance的安全性和安全性较低。
是的,只需创build一个用户名和权限不错的用户帐户。 就这么简单。