ユーザー用に 2 つの AD グループ (簡略化) があります。
bgs.ac.at\Students
bgs.ac.at\Teachers
コンピューター用の AD グループを 2 つ (2 つの部屋のように) 作成しました (簡略化)
bgs.ac.at\Room1
bgs.ac.at\Room2
生徒がRoom1のコンピューターにのみログインできるようにしたい。
私はグループポリシー(「denyStudents」)をbgs.ac.at\Room2に設定し、
コンピューターの構成 > ポリシー > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て > ローカルでのログオンを拒否
この時点で行き詰まってしまいました...
この時点で bgs.ac.at\Students を含めるにはどうすればいいでしょうか?
答え1
ここでは、OU とグループの間で用語が混同されているようです。OU (組織単位) は、基本的にグループ ポリシーを適用する場所です。グループとは、ユーザーの集まりです。
質問でこのアプローチを使用する場合は、学生を含むグループを作成し、ポリシーでそのグループを参照する必要があります。
Zoredache のアプローチ (推奨) を使用する場合は、教師を含むグループを作成し、そのグループを [コンピューターの構成] -> [基本設定] -> [コントロール パネルの設定] -> [ローカル ユーザーとグループ] (Domain Users を Teachers グループに置き換えます) のポリシーで参照する必要があります。
答え2
アクセスを拒否しようとするのではなく、最初からユーザーにログイン権限を与えない方がはるかに良いでしょう。
簡単な解決策としては、グループ ポリシーを使用して、ローカル マシン上の Users グループのメンバーシップを変更するだけです。
ドメインに参加した後に自動的に追加される を削除しdomain.tld\Domain Users、マシンへのアクセスを許可するユーザーのセットを含むセキュリティ グループをそのグループに追加します。
.\Usersしたがって、 Room1 のコンピューターのメンバーシップは次のようになります。
- bgs.ac.at\学生
- bgs.ac.at\教師
そして、Room2 は次のようになります。
- bgs.ac.at\教師