我想知道最好的做法是什么,我们目前有一个singel域。 而我们需要的是那些应该能够login课程室和随机工作站的访客帐户(如果他们需要login到需要IT部门工作的工作站)。
我的第一个想法是:
从域用户中删除这组用户,并更改主组。 但他们仍然可以login到任何站点(即使我从机器上的本地用户组中删除了Authenticed用户)。
我第二次尝试是拒绝规则。
这会立即起作用,但是会允许访客帐户login某些工作站(基本上被要求有不同的策略相互覆盖)会产生问题。
我揣测这已经做了很多次,但我没有find一个好的文章和最佳做法。 即时通讯想知道如果社区有经验
您需要创build一个安全组。 称之为Deny Logon to Workstations 。 您将在创build这些访客用户帐户后将其放在此处。
将所有您想拒绝访问的计算机放在同一个OU,OU树中,或者使用安全筛选。 但是,您select这样做,只要确保您要configuration的GPO适用于要拒绝login的计算机,并且不适用于例外情况。
然后,在组策略中,configurationComputer Configuration / Windows Settings / Security Settings / Local Policies / User Rights Assignments / Deny Logon Locally以拒绝访问您之前创build的Deny Logon to Workstations组。
然后,只需将这些访客帐户添加到此组。 他们将无法login到此策略适用的工作站。 这是简单的,可扩展的,你不需要摆弄本地机器上的其他东西。