通常当我准备在我们公司使用的新计算机时,我将它join到域中,然后进入“用户帐户”,然后将域用户添加到允许连接到此计算机的用户列表中。 到目前为止,这种方法运行良好,因为每台计算机的用户数量从来没有超过一两个。
现在我想configuration一台计算机,几乎所有的域用户(实际上是特定Active Directory组中的每个用户)都可以使用它。
我认为有一种方法可以在AD中进行configuration,但是我一直在网上search最后一个小时,但是我没有find任何东西。
AD域中的标准行为是将域组“域用户”自动添加到join域的每台计算机上的本地组“用户” 这允许“域用户”的所有成员(默认情况下包含域中的所有用户帐户)login到域中的任何计算机。
如果您的非标准设置不允许所有用户login到所有计算机,这可能是由于两个原因:您的AD用户帐户已从“域用户”域组中删除,或者该组是不是当地的“用户”组的成员控制你的电脑。 你应该检查这两个设置,并修复它们,如果他们不正确。
如果您拥有大量的计算机和不同的“用户angular色”,则可能需要为这些可以访问不同计算机的安全组制定命名约定,例如:
访问 – 计算机名 – angular色
因此,名为COMPUTER1的计算机的远程桌面用户组具有相应的AD安全组,名为“Access-COMPUTER1 – Remote Desktop Users”
这听起来像你想使用组策略 。
您应该将您的计算机帐户分组为OU(组织单位),并创build每个OU的GPO(组策略对象),指定计算机(而不是用户)策略中的“可以login到此计算机的用户”属性。
而不是尝试在计算机的属性中进行configuration,为什么不使用组策略来修改工作站上本地用户和pipe理员组的成员身份。 另外,您可以使用策略来修改安全策略,如本地login,从networkinglogin等。
因此,您一直在使用用户帐户的“login”属性来限制每个用户可以login到的工作站,但是现在您希望允许安全组的成员login到共享工作站吗?
我认为你可以授予一个安全组在AD中的计算机对象本身的“允许authentication”权限,然后删除“authentication用户”,“所有人”,“域用户”等,如果你想限制访问工作站。
但是,问题在于,您已经在该用户允许login的每个用户帐户上指定了工作站列表。 我想你将不得不使用计算机帐户权限来适当地限制事项,并删除用户帐户下的configuration,否则你将不得不将每个共享工作站添加到每个用户的帐户允许的计算机的列表。