服务器 Gind.cn
  1. 服务器 Gind.cn
  3. GPO:如何限制能够login到PC的用户?
Intereting Posts
尝试启动IIS6网站时发生意外的错误0x8ffe2740 SecureCookies,HTTPOnly cookies,.Net和SSL卸载 如何在Server 2008中使用额外参数运行计划任务? 由于依赖关系更新,启动停止服务 如何在Windows Server 2008上为没有安装IIS的SqlServer 2008生成证书请求 通过不同的VPN监控多个远程服务器 虚拟机的内存/内存使用情况 – 它如何影响主机? 如何在OpenBSD上configuration“Reflexive ACL”? Subversion SSPIauthentication 2个受信任的域一个Exchange Server 如何远程启动CentOS 7的netinstall? 磁盘空间不足,来源是什么? DNS区域:创build新区域委派的标准 如何让IIS 7在请求validation之前执行“请求筛选” 在不停机的情况下将新的configuration设置应用于Nginx?

GPO:如何限制能够login到PC的用户?

在一个活动目录域中,我希望将一些PC分配给单个人。 例如在computer_a上,唯一允许login的人应该是person_a加上各种pipe理员。

我发现一个常见的解决scheme是使用本地loginGPO,但这需要为每台计算机创build一个新的GPO和OU,因为每台计算机都将分配给不同的用户。 有没有更好的办法?

我正在尝试的一个可能的select是:

  • 使用GPO从本地用户组中删除以下帐户:NT AUTHORITY \ INTERACTIVE和NT AUTHORITY \ Authenticated Users
  • 将用户域帐户添加到本地用户组

这似乎工作正常,但我担心由于两个特殊小组的移除可能造成的问题。

有更好的解决scheme吗?

最后这是我做的:

  • 使用“允许本地login”策略来仅允许“BUILTIN \ Administrators”,“DOMAIN \ Domain Admins”和“allowlogon”组。 其中allowlogon是每台计算机上的本地组
  • 通过GPP在每台机器上创buildallowlogon本地组
  • 在刚刚join域的每台机器上,只需将指定的用户添加到allowlogon组即可,并且他将是唯一允许login的用户( net localgroup allowlogon /add DOMAIN\user
    • 还可以通过ADpipe理allowlogon成员资格,而不使用更多的GPO,而只需为每台计算机( allowlogon-computer1 )创build一个全局安全组,然后在其中放入允许login的用户。 allowlogon-computer1组需要被添加到computer1的本地allowlogon组中,但是这可以通过使用allowlogon-%COMPUTERNAME%的GPP来完成。 (它似乎不能简单地将allowlogon-%COMPUTERNAME%添加到“允许本地login”策略)