我有(简化)两个AD用户组:
bgs.ac.at\Students bgs.ac.at\Teachers 我有(简化)两个AD计算机组(如两个房间)
bgs.ac.at\Room1 bgs.ac.at\Room2
我希望学生只能在Room1上login电脑。
我设置了一个组策略(“denyStudents”)到bgs.ac.at \ Room2并设置
计算机configuration>策略>安全设置>本地策略>用户权限分配。 >拒绝本地login
在这一点上我卡住了…
如何在这一点上包含bgs.ac.at \ Students?
这听起来像是OU和组织之间有一些混淆的术语。 OU(或组织单位)基本上是您应用组策略的地方。 一个组是一堆用户。
如果您想在问题中使用该方法,则需要创build一个包含学生的组,并在您的策略中引用该方法。
如果您想使用Zoredache的方法(build议),您需要创build一个包含教师的组,并在计算机configuration – >首选项 – >控制面板设置 – >本地用户和组中的策略中引用该组用户与教师组)。
首先不向用户授予login权限会更好,而不是试图拒绝访问。
一个简单的解决scheme就是只使用组策略来修改本地机器上用户组的成员。
删除join域后自动添加的domain.tld\Domain Users ,然后将包含您希望访问机器的用户组的安全组添加到该组中。
因此,Room1计算机上的.\Users的成员资格可能如下所示。
而Room2可能是这样的。