Active Directory ドメインで、いくつかの PC を 1 人のユーザーに割り当てたいと思います。たとえば、computer_a では、ログオンを許可されるのは person_a とさまざまな管理者のみである必要があります。
私が見つけた一般的な解決策の 1 つは、ローカル ログオン GPO を使用することですが、各コンピューターが異なるユーザーに割り当てられるため、各コンピューターに新しい GPO と OU を作成する必要があります。もっと良い方法はありますか?
私が実験している可能性のある代替案の 1 つは次のとおりです。
- GPO を使用して、ローカル ユーザー グループから次のアカウントを削除します: NT AUTHORITY\INTERACTIVE および NT AUTHORITY\Authenticated Users
- ユーザードメインアカウントをローカルユーザーグループに追加する
これは問題なく動作するようですが、2 つの特殊グループを削除すると問題が発生する可能性があるのではないかと心配しています。
もっと良い解決策はありますか?
答え1
最終的に私がやったことは次のとおりです:
- 「ローカルログオンを許可する」ポリシーを使用して、「BUILTIN\Administrators」、「DOMAIN\Domain Admins」、および「allowlogon」グループのみを許可します。allowlogon は各マシンのローカル グループです。
- allowlogonローカルグループはGPPを通じて各マシンに作成される
- 各マシンでドメインに参加した直後に、指定されたユーザーをallowlogonグループに追加するだけで、そのユーザーだけがログオンを許可されます(
net localgroup allowlogon /add DOMAIN\user)- GPO を追加せずに AD を通じて allowlogon メンバーシップを管理することもできます。各コンピューター (
allowlogon-computer1) にグローバル セキュリティ グループを作成し、ログインを許可されたユーザーをそこに配置します。allowlogon-computer1 グループは、computer1 のローカル allowlogon グループに追加する必要がありますが、これは allowlogon-%COMPUTERNAME% を使用して GPP を通じて行うことができます。(allowlogon-%COMPUTERNAME% を「ローカル ログオンを許可する」ポリシーに単純に追加することはできないようです)
- GPO を追加せずに AD を通じて allowlogon メンバーシップを管理することもできます。各コンピューター (