我为一家公司,我们在一个域名工作。 当时我们有8间会议室,而那些会议室里有8台迷你电脑。
目前唯一允许login这台电脑的人是pipe理员,因为在我们账户的AD里,我们可以select“login”所有电脑
所以公司里的其他人都被设置在他们的账户下,如LOGONTO,然后是他们所在的PC。
我正在寻找的是让每个人都能够login到会议室的PC没有指定电脑名称。
我在公元大学有一个会议室。
公司有100多个。
我希望每个人都可以login到自己的电脑加上8台电脑在会议室。
我一直在尝试几个小时,尝试组策略,我想我做了一切正确的,但我得到错误消息您的帐户没有configuration使用这台电脑,请尝试另一台电脑'
迷你电脑有Windows 7,我们正在使用Windows Server 2008进行pipe理
我怎么去做这个?
使用“ 允许本地login”组策略设置(在“ Computer/Policies/Security Settings/Local Polices中的组策略中find),而不是在用户的AD帐户设置中使用“ login到”设置。
“ 允许本地login”设置指定有权login到该计算机的工作站上的本地用户或组。 默认授予本地login权限的组(和一个用户)是:
Users Administrators Backup Operators Guest
当机器join到域中时,AD安全组Domain Users将自动成为工作站本地Users组的成员。 这是AD用户如何获得login到所有域计算机的权限。 (另外,域组Domain Administrators将自动成为本地Administrators组的成员。)
您可以通过以下任一方式完成您
Users组的成员资格 Allow log on locally策略设置 这两种方法都需要放弃在用户的AD帐户设置中使用“ Log On To设置, Log On To控制哪些人可以根据其成员身份(或不是)在“ 允许login”中直接列出的组本地 GP设置,或者是同一设置中列出的组的成员。
不幸的是没有可能指定电脑组或类似的东西。
你可以做的是用PowerShell编写这个function。 我不确定2008年是否已经支持。
就像是:
Set-ADUser AntonioAl -LogonWorkstations 'AntonioAl-DSKTOP,AntonioAl-LPTOP'
你可以完整的脚本来:
如果会议室电脑是相同的,在同一个OU中,而不是特别专门的等,您可以使用受限制的组为用户(甚至超级用户)组添加“域用户”。 只要确保你包含了你已经在该组中的其他用户组(我正在考虑像任何asp.net帐户等),否则他们会被踢出你使用的组。
(我曾经使用和滥用这个设置来将特殊用户添加到pipe理员组中。)