我目前有一个用户DOMAINJOINER(位于WIN7Support OU),我用它来部署Windows 7机器。 该用户可以在WIN7Computers OU中创build和删除计算机对象,只要涉及访问,但他也在Domain Users组中。 当新的Windows 7计算机启动(通过自定义映像)时,他们使用DOMAINJOINER凭据join域。 当计算机join域时,它们被添加到WIN7Computers OU(这是在自定义映像中设置的)。
WIN7Computers OU将容纳所有的Windows 7机器。
在我们的一个GPO中,我有一个设置可以执行以下操作:
拒绝作为批处理作业login:domain \ DOMAINJOINER拒绝本地login:domain \ DOMAINJOINER拒绝通过terminal服务login:domain \ DOMAINJOINER
不幸的是,这个GPO只能连接到WIN7Computers Ou,而不是用户DOMAINJOINER所在的WIN7Support OU。
我的问题是,如何拒绝DOMAINJOINER交互式login到域中的任何计算机,但允许自定义图像继续使用DOMAINJOINER凭据,以允许计算机join域?